In un'allarmante escalation di minacce informatiche, gli hacker sponsorizzati dallo Stato cinese hanno intensificato le loro operazioni prendendo di mira infrastrutture critiche negli Stati Uniti, in Europa e nella regione Asia-Pacifico.
Recenti rapporti di intelligence rivelano che sofisticati attori della minaccia, tra cui Volt Typhoon e Salt Typhoon, si sono infiltrati nelle reti elettriche, nelle reti di telecomunicazioni e nei sistemi di trasporto con l'apparente obiettivo di predisporre potenziali interruzioni in tempo di guerra o ritorsioni coercitive durante periodi di tensione geopolitica.
Questi gruppi di minacce persistenti avanzate (APT) impiegano tecniche sofisticate progettate per l'accesso furtivo e a lungo termine, rendendone il rilevamento particolarmente impegnativo per i team di sicurezza.
Invece di provocare un'interruzione immediata, gli hacker installano quelle che gli esperti di sicurezza descrivono come "bombe logiche", ovvero codici maligni che rimangono dormienti finché non vengono attivati durante un potenziale conflitto o una crisi.
Questo approccio strategico consente agli attori di mantenere un accesso persistente riducendo al minimo il rischio di scoperta durante il monitoraggio di sicurezza di routine.
L'esperta di sicurezza informatica Simone Kraus (@SIMKRA) ha individuato il malware dopo aver analizzato una serie di incidenti in diversi settori.
"Ciò che rende questi attacchi particolarmente preoccupanti è il fatto che si concentrano su infrastrutture critiche che, se compromesse, potrebbero avere conseguenze devastanti nel mondo reale", ha spiegato Kraus in un'analisi completa pubblicata ieri.
"Stiamo osservando un chiaro schema di ricognizione e persistenza che indica una preparazione a un potenziale sabotaggio piuttosto che a un'interruzione immediata o al furto di dati".
Gli attacchi sembrano far parte di una più ampia strategia cinese di guerra irregolare basata sulla cyber-sicurezza, che combina attacchi informatici sponsorizzati dallo Stato, gruppi per procura e campagne di disinformazione per raggiungere obiettivi strategici senza innescare risposte militari convenzionali.
Di recente si sono verificati incidenti in diversi settori, prendendo di mira in modo particolare le infrastrutture energetiche.
In un caso documentato, un guasto alla rete elettrica di Taiwan è stato ricondotto a una bomba logica Volt Typhoon rimasta nascosta nel sistema per mesi prima dell'attivazione.
Incidenti simili sono stati segnalati nelle infrastrutture europee, il che suggerisce l'esigenza di una campagna coordinata.
Vivere della terra: il metodo di infezione preferito
Ciò che contraddistingue questi attacchi sono le loro sofisticate tecniche “Living Off the Land” (LOL), in cui gli hacker utilizzano strumenti e funzionalità di sistema legittimi anziché introdurre malware facilmente rilevabili.
Questo approccio consente loro di integrarsi nelle normali operazioni amministrative, garantendo al contempo la persistenza.
Gli aggressori sfruttano spesso PowerShell, Windows Management Instrumentation (WMI) e PsExec per spostamenti laterali tra le reti.
Una tipica sequenza di comandi recuperata da un sistema infetto mostra come gli aggressori stabiliscono la persistenza:# Create scheduled task for persistence $Action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-WindowStyle hidden -NonInteractive -ExecutionPolicy Bypass -EncodedCommand $EncodedCommand" $Trigger = New-ScheduledTaskTrigger -AtLogOn $Settings = New-ScheduledTaskSettingsSet -Hidden Register-ScheduledTask -TaskName "SystemVerification" -Action $Action -Trigger $Trigger -Settings $Settings -RunLevel Highest
Dopo aver stabilito la persistenza, gli aggressori in genere utilizzano tecniche di raccolta delle credenziali per muoversi lateralmente nella rete:# Lateral movement using harvested credentials $username = 'domain\admin' $password = 'P@ssw0rd' | ConvertTo-SecureString -AsPlainText -Force $cred = New-Object System.Management.Automation.PSCredential($username, $password) Invoke-Command -ComputerName "target-server" -Credential $cred -ScriptBlock { whoami }
Gli esperti di sicurezza consigliano di implementare un monitoraggio efficace per i comandi PowerShell insoliti, i modelli di utilizzo delle credenziali e la creazione di attività pianificate come parte di una strategia di difesa approfondita.
Le organizzazioni che gestiscono infrastrutture critiche sono invitate a implementare la segmentazione della rete, l'autenticazione a più fattori e la ricerca attiva delle minacce per individuare questi avversari sofisticati prima che possano mettere a segno i loro obiettivi di sabotaggio.
Nessun commento:
Posta un commento