Negli ultimi due mesi, Check Point Research (CPR), la divisione di Threat Intelligence di Check Point® Software Technologies Ltd. (NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale, ha osservato diversi gruppi APT che hanno cercato di sfruttare il conflitto tra Russia e Ucraina e le sanzioni contro le aziende russe come esca per operazioni di spionaggio. Non sorprende che le stesse organizzazioni russe siano diventate un obiettivo interessante per le campagne di spear-phishing che sfruttano le sanzioni imposte alla Russia dai Paesi occidentali. Queste sanzioni hanno esercitato un’enorme pressione sull’economia russa e in particolare sulle organizzazioni di diversi settori industriali russi.
L’indagine ha dimostrato che questa campagna fa parte di una più ampia operazione di spionaggio cinese, in corso da diversi mesi, contro organizzazioni legate alla Russia. I ricercatori ritengono che la campagna sia stata condotta da un APT nazionale cinese esperto. Questo report rivela le tattiche e le tecniche utilizzate e fornisce un’analisi tecnica delle fasi e dei payload dannosi osservati, compresi loader e backdoor precedentemente sconosciuti con molteplici tecniche avanzate di evasione e anti-analisi.
Campagna di spear-phishing
Per definizione, lo spear-phishing è un attacco phishing molto specifico. Come ogni altro attacco di phishing, può essere effettuato attraverso una serie di mezzi di comunicazione diversi – e-mail, SMS, social media, ecc. – ma le e-mail di spear-phishing sono le più comuni. Opera in modo molto simile agli altri attacchi di phishing, ma il processo di creazione del messaggio è leggermente diverso.
Il 23 marzo, alcune e-mail dannose hanno preso di mira diversi istituti di ricerca sulla difesa con sede in Russia. Le e-mail, che avevano come oggetto “List of <target institute name> persons under US sanctions for invading Ukraine”, contenevano un link a un sito controllato dall’aggressore che imitava il Ministero della Salute della Russia minzdravros[.]com e un documento dannoso allegato:
Figura 1: e-mail di spear-phishing inviata a istituti di ricerca in Russia
Tutti i documenti allegati sono stati realizzati in modo da sembrare documenti ufficiali del Ministero della Salute russo, con il suo simbolo e titolo ufficiale:
Figura 2: Schermata del documento di richiamo inviato agli istituti di ricerca in Russia
On the same day, a phishing email of similar type was also sent to an unknown entity in Minsk, Belarus with the subject “US Spread of Deadly Pathogens in Belarus”. Lo stesso giorno, un’e-mail di phishing simile è stata inviata anche a un’entità sconosciuta di Minsk, in Bielorussia, con l’oggetto “US Spread of Deadly Pathogens in Belarus”.
Attività provenienti dalla Cina
Considerando le strategie, le tecniche e le procedure (TTP) di questa operazione, i ricercatori ritengono che questa campagna sia stata condotta da un hacker cinese APT. In generale, i gruppi cinesi sono noti per riutilizzare e condividere gli strumenti. Inoltre, la campagna Twisted Panda presenta molteplici somiglianze con hacker cinesi di cyber-spionaggio avanzati e di lunga data, come l’offuscamento dei flussi di controllo osservato in SPINNER che è stato precedentemente utilizzato dal gruppo cinese APT10 ed è riapparso in una recente campagna nominata Mustang Panda. Tuttavia, non ci sono prove sufficientemente solide, come le connessioni situate nelle infrastrutture, per puntare il dito contro uno specifico gruppo cinese.
Il piano Made in China 2025 definisce gli obiettivi della Cina per diventare una grande potenza tecnologica ed economica e identifica anche i settori in cui deve diventare leader mondiale, tra cui la robotica, le attrezzature mediche e l’aviazione. Gli istituti di ricerca sulla difesa che CPR ha identificato come obiettivi di questo attacco appartengono a una holding del conglomerato statale russo della difesa Rostec Corporation. Si tratta della più grande holding russa nel settore della radioelettronica e gli istituti di ricerca presi di mira si occupano principalmente dello sviluppo e della produzione di sistemi di guerra elettronica, di apparecchiature radioelettroniche militari di bordo, di stazioni radar aeree e di mezzi di identificazione statale.
Gli enti di ricerca si occupano anche di sistemi per l’aviazione civile, dello sviluppo di una serie di prodotti civili come le apparecchiature mediche e di sistemi di controllo per l’energia, i trasporti e le industrie ingegneristiche. Questa campagna si basa su tecniche di social engineering e in particolare sullo spear-phishing. Lo scopo dell’operazione di spionaggio è probabilmente quello di raccogliere informazioni da obiettivi all’interno dell’industria della difesa russa ad alta tecnologia per sostenere la Cina nel suo progresso tecnologico e nel suo piano a lungo termine.
