Cyberattacchi cinesi: il report PACIFIC RIM rivela la controffensiva condotta dagli esperti Sophos negli ultimi 5 anni

 Sophos, leader mondiale e innovatore nelle soluzioni di sicurezza avanzate per neutralizzare i cyberattacchi, ha pubblicato “Pacific Rim”, un report che descrive le attività di difesa e controffensiva svolte negli ultimi cinque anni contro diversi attori statali situati in Cina dediti all’attacco di dispositivi perimetrali come i sistemi Sophos Firewall. Gli autori degli attacchi si sono avvalsi di una serie di campagne basate su exploit inediti e malware personalizzato per distribuire tool con cui effettuare azioni di sorveglianza, sabotaggio e cyberspionaggio, sfruttando anche una serie di TTP (tattiche, tool e procedure) sovrapposte a quelle di noti gruppi statali cinesi come Volt Typhoon, APT31 e APT41. Gli obiettivi di tali campagne sono state infrastrutture critiche ed entità governative di piccole e grandi dimensioni dislocate principalmente nella parte meridionale e nel Sud-Est dell’Asia: operatori di energia nucleare, l’aeroporto di una capitale nazionale, un ospedale militare, apparati di sicurezza statali e ministeri centrali.

Nel corso dell’operazione Pacific Rim, Sophos X-Ops, l’unità di Sophos specializzata nella cybersicurezza e nella threat intelligence, si è attivata per neutralizzare le mosse di questi avversari facendo continuamente evolvere le misure di difesa e controffensiva. Dopo che Sophos ha risposto con successo agli attacchi iniziali, gli avversari hanno reagito coinvolgendo risorse maggiormente esperte. Sophos ha successivamente scoperto un vasto ecosistema di attori coinvolti.

Dopo aver pubblicato nel 2020 i dettagli relativi alle campagne associate all’operazione, come Cloud Snooper e Asnarök, Sophos ha deciso di condividere un’analisi complessiva per promuovere la consapevolezza della persistenza degli attori statali cinesi e della loro determinazione a compromettere dispositivi perimetrali privi di patch e giunti al termine della loro vita utile, spesso sfruttando exploit zero-day appositamente creati. Sophos invita tutti ad applicare urgentemente le patch disponibili per neutralizzare le vulnerabilità rilevate in qualunque dispositivo collegato a Internet e migrare i dispositivi non più supportati sostituendoli con modelli attuali. Sophos aggiorna regolarmente i propri prodotti supportati in base a nuove minacce e indicatori di compromissione (IoC) per proteggere la clientela. I clienti delle soluzioni Sophos Firewall sono protetti per mezzo di hotfix veloci abilitate per default.

“La realtà è che i dispositivi installati all’edge sono diventati bersagli altamente attraenti per i gruppi statali cinesi come Volt Typhoon e altri impegnati a creare i cosiddetti ORB (Operational Relay Box) allo scopo di offuscare e sostenere le loro attività, per esempio colpendo direttamente un obiettivo per spiarlo o sfruttandone indirettamente eventuali punti deboli per sferrare attacchi successivi – e trasformarlo così in un danno collaterale. Viene colpito anche chi non è considerato un obiettivo. I dispositivi di rete progettati per le aziende sono bersagli naturali di queste attività, dal momento che sono sistemi potenti, sempre attivi e costantemente connessi”, ha dichiarato Ross McKerchar, CISO di Sophos. “Quando un gruppo che cerca di formare una rete globale di ORB colpisce i nostri dispositivi, noi rispondiamo applicando le stesse tecniche di rilevamento e risposta che utilizziamo per difendere i nostri endpoint e dispositivi di rete corporate. In questo modo abbiamo neutralizzato diverse campagne e ottenuto un prezioso patrimonio informativo di threat intelligence che abbiamo successivamente applicato per proteggere i nostri clienti dagli attacchi, sia quelli generici e indiscriminati che quelli più strettamente mirati”.

Punti salienti

  • Il 4 dicembre 2018, un computer con bassi privilegi d’accesso collegato a un display ha avviato una scansione della rete Sophos – apparentemente per conto proprio – dalla sede indiana di Cyberoam, una società acquisita da Sophos nel 2014. Su quel computer, che conteneva un nuovo tipo di backdoor e un rootkit complesso denominato “Cloud Snooper”, Sophos ha scoperto la presenza di un payload che si poneva silenziosamente all’ascolto di un particolare tipo di traffico Internet in ingresso.
  • Nell’aprile 2020, dopo che diverse aziende avevano segnalato un’interfaccia utente che puntava a un dominio contenente la parola “Sophos” nel proprio nome, Sophos ha collaborato con le autorità europee per rintracciare e confiscare il server usato per distribuire payload malevoli nella campagna che Sophos ha successivamente ribattezzato Asnarök. Sophos ha neutralizzato Asnarök, le cui origini sono state attribuite alla Cina, acquisendo il canale di comando e controllo (C2) del malware. L’iniziativa ha permesso a Sophos di bloccare anche un’ondata di attacchi botnet che era stata pianificata per un momento successivo.
  • Gli autori degli attacchi hanno dimostrato un crescente livello di persistenza adeguando le loro tattiche e ricorrendo a malware sempre più furtivo. Tuttavia, grazie al proprio programma di tracking degli autori degli attacchi e a ulteriori capacità di raccolta di dati telemetrici, Sophos ha potuto neutralizzare diversi attacchi e ottenere una copia di un bootkit UEFI e di exploit personalizzati prima che potessero essere dispiegati su vasta scala.
  • Pochi mesi dopo Sophos ha fatto risalire alcuni attacchi a un avversario che aveva dimostrato di avere collegamenti con la Cina e con il Double Helix Research Institute della Sichuan Silence Information Technology nella regione cinese del Chengdu.
  • Nel marzo del 2022 un ricercatore anonimo aveva segnalato a Sophos una vulnerabilità RCE (Remote Code Execution) zero-day, designata CVE-2022-1040, nel quadro del programma di bug bounty della società. Ulteriori analisi hanno rivelato che questa CVE era già utilizzata sul campo da diverse campagne di attacchi – operazioni che avevano un impatto sui clienti e che Sophos ha potuto neutralizzare. Dopo vari approfondimenti, Sophos ritiene che la persona che aveva segnalato l’exploit potrebbe aver avuto dei collegamenti con gli avversari. Si è trattato della seconda volta che Sophos ha ricevuto una segnalazione con un tempismo sospetto prima che un exploit venisse utilizzato nella pratica.

Recenti avvisi emessi dalla CISA hanno reso evidente come i gruppi statali cinesi siano diventati una minaccia costante per le infrastrutture critiche delle altre nazioni”, ha continuato McKerchar. “Quel che tendiamo a dimenticare è che le piccole e medie aziende, quelle che costituiscono il grosso della supply chain delle infrastrutture critiche, rappresentano dei bersagli perché rappresentano spesso l’anello debole della catena. Sfortunatamente queste realtà dispongono spesso di minori risorse per difendersi da minacce tanto sofisticate. A complicare oltre le cose c’è poi la tendenza degli autori degli attacchi a conquistarsi una testa di ponte nei sistemi colpiti e trincerarvisi dentro rendendo ardua la loro espulsione. Il modus operandi degli avversari cinesi è quello di creare persistenza a lungo termine con attacchi offuscati in maniera complessa. Non si fermeranno finché non saranno neutralizzati del tutto”.

Cosa dicono gli esperti

“Attraverso il JCDC, la CISA ottiene e condivide l’intelligence sulle sfide della cybersicurezza, comprese le tattiche e le tecniche usate dai cybercriminali sponsorizzati dalla Repubblica Popolare Cinese (PRC). La competenza di partner come Sophos e i report come Pacific Rim offrono alla comunità globale dei ricercatori una serie di informazioni sull’evoluzione dei comportamenti della PRC. Insieme possiamo aiutare i cyberdifensori a capire la scala e la diffusione degli attacchi sferrati contro i dispositivi situati all’edge di rete e implementare le strategie di mitigazione necessarie”, ha commentato Jeff Greene, Executive Assistant Director for cybersecurity della CISA. “La CISA continua a evidenziare come intere classi di vulnerabilità come le SQL injection e le violazioni alla sicurezza della memoria vengano sfruttate in massa. Invitiamo i produttori software a consultare le nostre risorse Secure by Design e, come ha fatto Sophos in questo caso, metterne in pratica i principi. Chiediamo a tutti a impegnarsi nella stessa direzione e usare i nostri bollettini di allerta per eliminare intere classi di difetti”.

“Molti produttori di cybersicurezza conducono ricerche sugli avversari, ma pochi sono in grado di farlo con successo contro gruppi statali per un periodo di tempo così lungo”, ha osservato Eric Parizo, Managing Principal Analyst del cybersecurity research group di Omdia. “Sophos ha sfruttato al meglio un’opportunità davvero unica e dovrebbe essere elogiata per aver fornito dati di ricerca e informazioni tattiche che aiuteranno a difendere meglio i suoi clienti nel tempo”.

“Uno dei compiti di NCSC-NL è quello di condividere informazioni e connettere organizzazioni. Agevolare la comunicazione e la cooperazione tra organizzazioni nazionali e internazionali è di grande importanza per migliorare la cyber-resilienza. Siamo felici di aver potuto contribuire a questa investigazione con Sophos”, ha aggiunto Hielke Bontius, Head of Operations di NCSC-NL.

Qualche consiglio utile

Tutti dovrebbero ricordarsi che i dispositivi connessi a Internet sono i primi bersagli per i gruppi statali, in particolare quando tali dispositivi si trovano installati in un’infrastruttura critica. Sophos invita a intraprendere i seguenti passaggi per rafforzare la postura di sicurezza:

  • Minimizzare i servizi e i dispositivi connessi a Internet quando possibile
  • Prioritizzare urgentemente il patching dei dispositivi connessi a Internet e tenerli monitorati
  • Abilitare il ricevimento e l’applicazione automatica di hotfix sui dispositivi presenti all’edge di rete
  • Collaborare con forze dell’ordine, partner pubblici-privati e organismi governativi per condividere e gestire gli IoC
  • Creare un piano d’azione dedicato ai dispositivi alla fine della loro vita utile presenti nella propria organizzazione

“Abbiamo bisogno di collaborazione tra il settore pubblico e quello privato, le forze dell’ordine, gli enti governativi e l’industria della sicurezza per condividere quel che sappiamo a proposito di operazioni come queste. Colpire i dispositivi edge posti a protezione delle reti è una tattica astuta. Aziende, partner di canale e MSP (Managed Service Provider) devono capire che questi dispositivi rappresentano bersagli primari per gli autori degli attacchi e dovrebbero quindi accertarsi di proteggerli adeguatamente applicando le patch necessarie appena vengono rilasciate. Sappiamo infatti che gli autori degli attacchi ricercano attivamente i dispositivi arrivati a fine della loro vita utile. Anche i vendor giocano un ruolo importante: essi devono infatti aiutare i clienti supportando hotfix affidabili e collaudate, semplificando il passaggio dalle piattaforme obsolete, rifattorizzando o rimuovendo sistematicamente il codice legacy che può contenere vulnerabilità latenti, migliorando continuamente i progetti secure by default così da togliere la necessità di rafforzare la protezione dalle spalle dei clienti, e monitorando l’integrità dei dispositivi installati”, ha concluso McKerchar.