Redazione RHC : 11 Novembre 2024 10:29
11 novembre 2024 – Sophos, leader mondiale e innovatore nelle soluzioni di sicurezza avanzate per neutralizzare i cyberattacchi, ha pubblicato “Pacific Rim”, un report che descrive le attività di difesa e controffensiva svolte negli ultimi cinque anni contro diversi attori statali situati in Cina dediti all’attacco di dispositivi perimetrali come i sistemi Sophos Firewall. Gli autori degli attacchi si sono avvalsi di una serie di campagne basate su exploit inediti e malware personalizzato per distribuire tool con cui effettuare azioni di sorveglianza, sabotaggio e cyberspionaggio, sfruttando anche una serie di TTP (tattiche, tool e procedure) sovrapposte a quelle di noti gruppi statali cinesi come Volt Typhoon, APT31 e APT41. Gli obiettivi di tali campagne sono state infrastrutture critiche ed entità governative di piccole e grandi dimensioni dislocate principalmente nella parte meridionale e nel Sud-Est dell’Asia: operatori di energia nucleare, l’aeroporto di una capitale nazionale, un ospedale militare, apparati di sicurezza statali e ministeri centrali.
Nel corso dell’operazione Pacific Rim, Sophos X-Ops, l’unità di Sophos specializzata nella cybersicurezza e nella threat intelligence, si è attivata per neutralizzare le mosse di questi avversari facendo continuamente evolvere le misure di difesa e controffensiva. Dopo che Sophos ha risposto con successo agli attacchi iniziali, gli avversari hanno reagito coinvolgendo risorse maggiormente esperte. Sophos ha successivamente scoperto un vasto ecosistema di attori coinvolti.
Dopo aver pubblicato nel 2020 i dettagli relativi alle campagne associate all’operazione, come Cloud Snooper e Asnarök, Sophos ha deciso di condividere un’analisi complessiva per promuovere la consapevolezza della persistenza degli attori statali cinesi e della loro determinazione a compromettere dispositivi perimetrali privi di patch e giunti al termine della loro vita utile, spesso sfruttando exploit zero-day appositamente creati. Sophos invita tutti ad applicare urgentemente le patch disponibili per neutralizzare le vulnerabilità rilevate in qualunque dispositivo collegato a Internet e migrare i dispositivi non più supportati sostituendoli con modelli attuali. Sophos aggiorna regolarmente i propri prodotti supportati in base a nuove minacce e indicatori di compromissione (IoC) per proteggere la clientela. I clienti delle soluzioni Sophos Firewall sono protetti per mezzo di hotfix veloci abilitate per default.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
“La realtà è che i dispositivi installati all’edge sono diventati bersagli altamente attraenti per i gruppi statali cinesi come Volt Typhoon e altri impegnati a creare i cosiddetti ORB (Operational Relay Box) allo scopo di offuscare e sostenere le loro attività, per esempio colpendo direttamente un obiettivo per spiarlo o sfruttandone indirettamente eventuali punti deboli per sferrare attacchi successivi – e trasformarlo così in un danno collaterale. Viene colpito anche chi non è considerato un obiettivo. I dispositivi di rete progettati per le aziende sono bersagli naturali di queste attività, dal momento che sono sistemi potenti, sempre attivi e costantemente connessi”, ha dichiarato Ross McKerchar, CISO di Sophos. “Quando un gruppo che cerca di formare una rete globale di ORB colpisce i nostri dispositivi, noi rispondiamo applicando le stesse tecniche di rilevamento e risposta che utilizziamo per difendere i nostri endpoint e dispositivi di rete corporate. In questo modo abbiamo neutralizzato diverse campagne e ottenuto un prezioso patrimonio informativo di threat intelligence che abbiamo successivamente applicato per proteggere i nostri clienti dagli attacchi, sia quelli generici e indiscriminati che quelli più strettamente mirati”.
“Recenti avvisi emessi dalla CISA hanno reso evidente come i gruppi statali cinesi siano diventati una minaccia costante per le infrastrutture critiche delle altre nazioni”, ha continuato McKerchar. “Quel che tendiamo a dimenticare è che le piccole e medie aziende, quelle che costituiscono il grosso della supply chain delle infrastrutture critiche, rappresentano dei bersagli perché rappresentano spesso l’anello debole della catena. Sfortunatamente queste realtà dispongono spesso di minori risorse per difendersi da minacce tanto sofisticate. A complicare oltre le cose c’è poi la tendenza degli autori degli attacchi a conquistarsi una testa di ponte nei sistemi colpiti e trincerarvisi dentro rendendo ardua la loro espulsione. Il modus operandi degli avversari cinesi è quello di creare persistenza a lungo termine con attacchi offuscati in maniera complessa. Non si fermeranno finché non saranno neutralizzati del tutto”.
“Attraverso il JCDC, la CISA ottiene e condivide l’intelligence sulle sfide della cybersicurezza, comprese le tattiche e le tecniche usate dai cybercriminali sponsorizzati dalla Repubblica Popolare Cinese (PRC). La competenza di partner come Sophos e i report come Pacific Rim offrono alla comunità globale dei ricercatori una serie di informazioni sull’evoluzione dei comportamenti della PRC. Insieme possiamo aiutare i cyberdifensori a capire la scala e la diffusione degli attacchi sferrati contro i dispositivi situati all’edge di rete e implementare le strategie di mitigazione necessarie”, ha commentato Jeff Greene, Executive Assistant Director for cybersecurity della CISA. “La CISA continua a evidenziare come intere classi di vulnerabilità come le SQL injection e le violazioni alla sicurezza della memoria vengano sfruttate in massa. Invitiamo i produttori software a consultare le nostre risorse Secure by Design e, come ha fatto Sophos in questo caso, metterne in pratica i principi. Chiediamo a tutti a impegnarsi nella stessa direzione e usare i nostri bollettini di allerta per eliminare intere classi di difetti”.
“Molti produttori di cybersicurezza conducono ricerche sugli avversari, ma pochi sono in grado di farlo con successo contro gruppi statali per un periodo di tempo così lungo”, ha osservato Eric Parizo, Managing Principal Analyst del cybersecurity research group di Omdia. “Sophos ha sfruttato al meglio un’opportunità davvero unica e dovrebbe essere elogiata per aver fornito dati di ricerca e informazioni tattiche che aiuteranno a difendere meglio i suoi clienti nel tempo”.
“Uno dei compiti di NCSC-NL è quello di condividere informazioni e connettere organizzazioni. Agevolare la comunicazione e la cooperazione tra organizzazioni nazionali e internazionali è di grande importanza per migliorare la cyber-resilienza. Siamo felici di aver potuto contribuire a questa investigazione con Sophos”, ha aggiunto Hielke Bontius, Head of Operations di NCSC-NL.
Tutti dovrebbero ricordarsi che i dispositivi connessi a Internet sono i primi bersagli per i gruppi statali, in particolare quando tali dispositivi si trovano installati in un’infrastruttura critica. Sophos invita a intraprendere i seguenti passaggi per rafforzare la postura di sicurezza:
“Abbiamo bisogno di collaborazione tra il settore pubblico e quello privato, le forze dell’ordine, gli enti governativi e l’industria della sicurezza per condividere quel che sappiamo a proposito di operazioni come queste. Colpire i dispositivi edge posti a protezione delle reti è una tattica astuta. Aziende, partner di canale e MSP (Managed Service Provider) devono capire che questi dispositivi rappresentano bersagli primari per gli autori degli attacchi e dovrebbero quindi accertarsi di proteggerli adeguatamente applicando le patch necessarie appena vengono rilasciate. Sappiamo infatti che gli autori degli attacchi ricercano attivamente i dispositivi arrivati a fine della loro vita utile. Anche i vendor giocano un ruolo importante: essi devono infatti aiutare i clienti supportando hotfix affidabili e collaudate, semplificando il passaggio dalle piattaforme obsolete, rifattorizzando o rimuovendo sistematicamente il codice legacy che può contenere vulnerabilità latenti, migliorando continuamente i progetti secure by default così da togliere la necessità di rafforzare la protezione dalle spalle dei clienti, e monitorando l’integrità dei dispositivi installati”, ha concluso McKerchar.