Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Attacchi di Cyberspionaggio Cinesi Contro le Telecomunicazioni Asiatiche

Sandro Sana : 26 Giugno 2024 07:55

Le telecomunicazioni sono un settore strategico per lo sviluppo economico e la sicurezza nazionale di molti paesi asiatici. Tuttavia, questo settore è anche esposto a minacce informatiche da parte di attori statali e non statali che cercano di rubare informazioni sensibili, influenzare le reti o interrompere i servizi. Negli ultimi anni, gruppi di cyberspionaggio legati alla Cina hanno preso di mira operatori di telecomunicazioni in Asia in campagne sofisticate e persistenti. Secondo un rapporto di Symantec, queste attività sono iniziate almeno dal 2021 e hanno coinvolto strumenti e tecniche avanzate, spesso associati a gruppi noti come Fireant, Needleminer e Firefly. In questo articolo, analizzeremo le caratteristiche principali di queste campagne, gli obiettivi e le motivazioni degli attaccanti, e le possibili contromisure da adottare per proteggere le infrastrutture critiche.

Attacchi

Le campagne hanno sfruttato vulnerabilità nei server Microsoft Exchange per infiltrarsi nelle reti delle telecomunicazioni. Una volta ottenuto l’accesso, gli attaccanti hanno implementato backdoor personalizzate, come Coolclient e Quickheal, e strumenti per il keylogging, il port scanning e il furto di credenziali​ (Symantec Enterprise Blogs)​​ (BankInfoSecurity)​. Gli attacchi miravano a raccogliere informazioni sensibili, comprese le comunicazioni dei clienti e i dettagli delle chiamate, potenzialmente per scopi di spionaggio contro governi, aziende e individui di interesse per il governo cinese​ (BankInfoSecurity)​​ (Sechub)​.

Questi attacchi hanno avuto come obiettivo le telecomunicazioni in vari paesi asiatici, tra cui l’India, il Pakistan, il Nepal e il Bangladesh. Gli attaccanti hanno cercato di ottenere l’accesso ai sistemi interni e alle informazioni degli operatori, come i dati degli abbonati, le configurazioni di rete e i piani di sviluppo. Le campagne hanno sfruttato vulnerabilità note nei server Microsoft Exchange per installare backdoor personalizzate che consentivano agli attaccanti di mantenere una presenza furtiva e di eseguire comandi remoti.

Acquista il corso Dark Web & Cyber Threat Intelligence (e-learning version)
Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.

Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.

Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti darà diritto ad uno sconto del 20% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

Le principali caratteristiche di queste backdoor sono:

  • Coolclient: Utilizzato dal gruppo Fireant, un gruppo di cyberspionaggio che opera dal 2017 e si concentra su obiettivi governativi e militari. Questa backdoor include funzionalità di logging dei tasti, lettura e cancellazione di file, e comunicazione con un server C&C tramite una porta TCP specificata.
  • Quickheal: Associato al gruppo Needleminer, un gruppo di cyberspionaggio che agisce dal 2018 e mira a raccogliere informazioni economiche e geopolitiche. Questa backdoor impiega un protocollo di comunicazione personalizzato mascherato da traffico SSL, che rende difficile la sua individuazione e analisi. La backdoor può anche scaricare e caricare file, eseguire processi e registrare i tasti premuti.
  • Rainyday: Legato al gruppo Firefly, un gruppo di cyberspionaggio che opera dal 2019 e si focalizza su obiettivi nel settore energetico e delle telecomunicazioni. Questa backdoor viene caricata tramite file legittimi, come script PowerShell o documenti Word, per mascherare la sua presenza. La backdoor è in grado di comunicare con un server C&C tramite HTTP o HTTPS, e di eseguire diverse operazioni, come catturare schermate, modificare i registri e accedere ai database.

Queste campagne dimostrano le capacità e le intenzioni degli attori cinesi di cyberspionaggio nel settore delle telecomunicazioni, che rappresenta un’area di interesse strategico per la Cina. Gli attaccanti potrebbero usare le informazioni rubate per scopi di intelligence, guerra informatica o influenza politica. Per contrastare queste minacce, gli operatori di telecomunicazioni dovrebbero adottare misure di sicurezza adeguate, come patchare le vulnerabilità, monitorare le anomalie di rete, segmentare le reti e formare il personale.

Tecniche e Procedure

Oltre alle backdoor, gli attaccanti hanno usato:

  • Malware per keylogging: questo tipo di malware registra i tasti premuti sulla tastiera del computer infetto, al fine di catturare le password e altri dati sensibili degli utenti. Il malware invia periodicamente i dati raccolti al server C&C degli attaccanti, che possono usarli per accedere ad altre risorse di rete.
  • Strumenti per il port scanning: questi strumenti permettono di scoprire quali porte di rete sono aperte o chiuse su un determinato host o segmento di rete. Gli attaccanti usano questi strumenti per identificare le potenziali vulnerabilità o i servizi esposti sui sistemi bersaglio, e per pianificare gli attacchi successivi.
  • Furto di credenziali: questa tecnica consiste nel rubare le credenziali di accesso, come nomi utente e password, di utenti legittimi o amministratori di rete. Questo può avvenire tramite malware per keylogging, phishing, brute force o sniffing di rete. Le credenziali rubate possono essere usate per accedere a sistemi o reti protette, o per compromettere ulteriormente la sicurezza delle organizzazioni vittime.
  • Strumenti pubblicamente disponibili come Responder per l’avvelenamento dei nomi di rete: Responder è uno strumento open source che sfrutta una debolezza del protocollo di risoluzione dei nomi NetBIOS, usato da Windows per identificare i dispositivi in rete. Responder si finge un server NetBIOS e risponde alle richieste dei client, facendoli credere di essere il server legittimo. In questo modo, Responder può intercettare le richieste di autenticazione dei client e catturare le loro credenziali in chiaro o in formato hash.

Queste tecniche aggiuntive mostrano il livello di sofisticazione e di persistenza degli attori cinesi di cyberspionaggio, che usano una varietà di strumenti e metodi per infiltrarsi nelle reti delle telecomunicazioni e sottrarre informazioni preziose. Queste tecniche rendono anche più difficile rilevare e contrastare gli attacchi, poiché si basano su tecniche di mascheramento, di scansione passiva o di abuso di protocolli legittimi. Per questo motivo, le organizzazioni coinvolte nel settore delle telecomunicazioni dovrebbero prestare particolare attenzione alla sicurezza delle loro reti e dei loro sistemi, e implementare le migliori pratiche di difesa consigliate dagli esperti.

Obiettivi e Implicazioni

Gli attacchi hanno mirato a raccogliere informazioni sensibili dalle telecomunicazioni, comprese le comunicazioni dei clienti e i dettagli delle chiamate, potenzialmente per scopi di spionaggio contro governi, aziende e individui. L’attività è stata particolarmente mirata verso paesi dell’ASEAN, alcuni dei quali hanno contese territoriali e politiche con la Cina. Gli esperti ritengono che queste intrusioni potrebbero preparare il terreno per future interruzioni delle infrastrutture critiche, qualora gli attaccanti decidessero di cambiare obiettivi dall’espionage all’interferenza diretta​ (Sechub)​.

L’attività è stata particolarmente mirata verso paesi dell’ASEAN, alcuni dei quali hanno contese territoriali e politiche di lunga data con la Cina. Gli esperti di sicurezza ritengono che questi attacchi potrebbero non solo servire per lo spionaggio, ma anche per preparare il terreno per possibili future interruzioni delle infrastrutture critiche, qualora gli attaccanti decidessero di passare dall’espionage all’interferenza diretta​ (Sechub)​.

Protezione e Mitigazione

Symantec consiglia alle organizzazioni di aggiornare regolarmente le protezioni di sicurezza e monitorare costantemente le reti per attività sospette. Gli Indicatori di Compromissione (IOC) sono disponibili per aiutare le organizzazioni a rilevare e bloccare queste minacce​ (Symantec Enterprise Blogs)​.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro CLUSIT e giornalista presso RedHot Cyber, Cybersecurity360 & Digital360.
Visita il sito web dell'autore
Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence
RUBRICHE
Alla scoperta della Sicurezza Informatica
Alla scoperta dell’Hacking
Interviste ai Threat Actors

RISORSE
Red Hot Cyber Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
COMMUNITY
Scrivi per Red Hot Cyber
Whistleblower
Red Hot Cyber Conference
Report
Contatti

Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009

Facebook Twitter Youtube Linkedin Telegram Whatsapp