Bitdefender annuncia la scoperta di un potenziale gruppo APT cinese che prende di mira i governi dell’Asia Sud-Orientale utilizzando una sofisticata infrastruttura di attacco e attualmente ancora parzialmente operativa. In dettaglio, nel report “Dissecting a Chinese APT Targeting South Eastern Asian Government Institutions” pubblicato oggi, la società di sicurezza informatica presenta la prima cronologia dettagliata degli attacchi e fa un inventario degli strumenti, delle tecniche e delle procedure utilizzate dal gruppo APT.
I ricercatori di Bitdefender monitorano costantemente i gruppi APT e le loro attività in tutto il mondo, nel tentativo di comprendere meglio le loro tattiche, tecniche e i loro bersagli. Mentre alcuni gruppi APT operano a scopo di lucro, altri sono affiliati a Paesi e possono muoversi seguendo un’agenda politica. Gli indizi lasciati dai gruppi APT quando utilizzano strumenti costruiti su misura o specifici payload possono a volte indicare criminali conosciuti, ma possono anche rivelare ulteriori informazioni su come i gruppi operano dopo aver compromesso un obiettivo.
Il target dell’attacco
Durante il monitoraggio dell’attività dei gruppi APT nella regione asiatica, i ricercatori di Bitdefender hanno trovato segni di un complesso e mirato attacco di spionaggio su potenziali vittime del settore governativo nel Sud-Est asiatico, effettuato da un sofisticato gruppo APT cinese, a giudicare da alcune tracce rilevate. L’operazione è stata condotta nell’arco di almeno qualche anno, poiché i primi segni di potenziale violazione risalgono alla fine del 2018. Mentre le prove attuali seguono la linea temporale dell’attacco fino al 2020, un piccolo numero di server C&C sono attivi. È probabile che l’infrastruttura globale controllata dagli aggressori utilizzata nell’attacco non sia attualmente attiva, anche se sono stati riscontrati ancora alcuni C&C operativi.
Mentre l’incidente è stato menzionato da altri ricercatori della sicurezza, l’indagine di Bitdefender si concentra sulla linea temporale dettagliata dell’attacco, mettendo insieme tutte le prove forensi e creando un esempio di caso di studio. Il Report fornisce anche un’analisi tecnica degli strumenti utilizzati in questo attacco mirato.
Tecniche e strumenti utilizzati
L’attacco ha un complesso e completo arsenale di strumenti, come dropper, backdoor e molti ancora, tra cui codici binari delle backdoor Chinoxy e FunnyDream e di PCShare Rat, con indizi e prove che fanno pensare a un autore cinese. Alcuni di questi trojan RAT (Remote Access Trojans) open source sono notoriamente di origine cinese, insieme ad altre risorse impostate in lingua cinese. La backdoor FunnyDream è molto più complessa delle altre, poiché implementa un’ampia gamma di meccanismi di persistenza e un gran numero di dropper, suggerendo così che sia stata creata ad hoc.
Tempistiche e danni causati
I primi segni di attacco risalgono al novembre 2018, seguiti da un aumento dell’attività del gruppo APT cinese a partire dall’inizio del 2019. Da allora, nell’arco di cinque mesi, circa 200 sistemi sembrano avere al loro interno segni relativi ai vari strumenti associati al gruppo APT indagato. Alcune prove suggeriscono che i criminali informatici potrebbero essere riusciti a compromettere i controller di dominio dalla rete della vittima, permettendo loro di spostarsi lateralmente e potenzialmente di ottenere il controllo di un gran numero di macchine di quell’infrastruttura. Le indagini indicano un attacco volto a garantire la permanenza nella rete presa di mira il più a lungo possibile per spiarne le vittime monitorando le loro attività ed esfiltrare le informazioni.