I dispositivi Android sono nel mirino del gruppo di hacking nation-state APT41, sostenuto dallo Stato cinese, attraverso nuovi spyware come WyrmSpy e DragonEgg.
“L’attribuzione di questi due sofisticati spyware al gruppo APT41 che opera per il governo cinese”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “dimostra il crescente interesse dell’attore statuale per i dispositivi mobili”.
Questi attacchi dimostrano che il gruppo APT41 è ancora attivo e rappresenta una minaccia significativa per vari settori in tutto il mondo.
“La notizia su APT41 evidenzia una preoccupante tendenza”, conferma Pierguido Iezzi, CEO di Swascan, “la sempre più labile distinzione tra attività di gruppi hacker sponsorizzati da stati e normali attività criminali”.
Indice degli argomenti
Android nel mirino di APT41: cosa temere
Gli attacchi informatici sponsorizzati dallo Stato sono sempre motivo di grande preoccupazione, poiché possono avere gravi implicazioni per la sicurezza nazionale, economica e personale.
APT41 è noto per aver condotto operazioni di cyber-spionaggio contro entità di vari settori industriali, tra cui sviluppatori di software, hardware, think tank, telecomunicazioni, università e governi stranieri.
“Oltre ai tradizionali obiettivi come reti aziendali e computer”, aggiunge Riccardo Paglia, Head of Incident Response Team di Swascan, “APT41 ha di recente rivolto le proprie attenzioni anche verso i dispositivi mobile Android, attraverso malware mirati come WyrmSpy e DragonEgg“.
Entrambi i ceppi di malware Android sono dotati di ampie capacità di raccolta ed esfiltrazione dei dati, attivate sui dispositivi Android compromessi dopo aver distribuito payload secondari.
Mentre WyrmSpy si traveste da app predefinita del sistema operativo, DragonEgg si camuffa da tastiera di terze parti o da app di messaggistica, sfruttando queste vesti per eludere il rilevamento.
“Proprio i dispositivi mobili”, sottolinea Paganini, “rappresentano un obiettivo privilegiato delle spie informatiche grazie alla grande mole di dati che custodiscono e la possibilità di utilizzare dispositivi componenti come microfono e camera per spiare l’ambiente circostante”.
Interessante notare come, “sebbene WyrmSpy and DragonEgg siano stati individuati da Lookout rispettivamente nel 2020 e all’inizio del 2021, solo ora si riesce ad associare queste minacce al popolare gruppo APT41“, evidenzia Paganini.
“Ciò ci ricorda quanto complesso sia il processo di attribuzione di una minaccia ad uno specifico attore malevolo, soprattutto quando ci si confronta con attori nation-state” come APT41, la cui storia di compromissione è duplice. “Sia di organizzazioni governative a scopo di spionaggio, sia di diverse imprese private a scopo di lucro”, spiega Lookout in un rapporto pubblicato questa settimana.
Caso emblematico di “ibridazione” degli attori malevoli
“APT41 rappresenta un caso emblematico di ‘ibridazione’ degli attori malevoli”, mette in guardia Iezzi, “non solo attività di cyberspionaggio, ma anche operazioni per fini di lucro, come farebbe un comune gruppo cybercriminale. Spesso gli stessi strumenti e infrastrutture vengono impiegati per spionaggio e fini criminali”.
Inoltre, “per i gruppi APT gli introiti da attività cybercriminali possono fornire ulteriore finanziamento per ampliare le capacità offensive di attacchi sponsorizzati da stati. Questa evoluzione riflette la natura fluida, connivente e sovrapposta delle minacce informatiche odierne. Le categorizzazioni tradizionali di cyberwar, cybercrime, hacktivism sono sempre più indistinguibili“, avverte Iezzi.
“Un fenomeno simile all’ibridazione può essere riscontrato anche nel mondo dei ransomware”, conclude Iezzi: “Sebbene classificati come cybercrime, gli attacchi ransomware comportano spesso la sottrazione di informazioni sensibili dalle aziende, che possono poi essere sfruttate a fini di spionaggio industriale o statale. In Italia ciò mette a rischio la competitività delle PMI e del Made in Italy. Non dobbiamo dimenticare che anche le gang ransomware presentano tratti di “ibridazione” tra sfera criminale e statale”.
Come proteggersi
È importante che individui ed organizzazioni adottino misure di sicurezza per proteggere i loro dispositivi Android, installando software antivirus ed aggiornando regolarmente il sistema operativo. Ma soprattutto serve un approccio Zero Trust contro gruppi agguerriti come APT41.
L’enorme diffusione degli smartphone “garantisce ad APT41 un bacino potenziale di vittime più ampio. Inoltre i dati personali contenuti nei device mobile sono altrettanto preziosi di quelli aziendali.
Per contrastare questa minaccia digitale in costante cambiamento è sempre più necessario operare sulla la formazione e sensibilizzazione degli utenti e dipendenti ma anche adottare strumenti di Cyber Threat Intelligence, in grado di anticipare e comprendere le nuove tattiche dei criminal hacker“, avverte Paglia.
Inoltre, è fondamentale che gli Stati e le organizzazioni internazionali collaborino per contrastare le crescenti cyber minacce. Bisogna lavorare per garantire una maggiore sicurezza informatica a livello globale.
La condivisione di informazioni e l’adozione di politiche di sicurezza robuste possono dunque contribuire a mitigare gli effetti dannosi di gruppi di hacking sponsorizzati dallo Stato come APT41.
“L’attenzione dei gruppi state-sponsored verso target di questo tipo ed il probabile utilizzo di campagne di social engineering per la diffusione dei due malware”, conclude Giuseppe Dongu, Head of Swascan Cybersecurity Team, “è un’ulteriore conferma di come i dati degli utenti comuni, nell’attuale scenario geopolitico, siano sempre più ambiti, posti al centro di reti a strascico di sorveglianza, nel tentativo di poterne sfruttare al massimo potenzialità e relazioni, sia dirette che indirette. Va tuttavia notato che, in questo caso, una attenzione alle buone pratiche di sicurezza mobile, rende molto difficile l’installazione dei malware“. Servirebbe dunque una postura di consapevolezza.
