Secondo quanto riportato da Symantec, il gruppo APT (Advanced Persistent Threat) Cicada sostenuto dallo stato cinese sarebbe stato l’artefice di una nuova campagna di spionaggio di lunga durata che ha esteso il proprio bacino d’azione coinvolgendo nuove aree geografiche, tra cui anche l’Italia.
Tale gruppo, anche noto con il nome di APT10, avrebbe iniziato le sue intrusioni a metà 2021 con attività viste a febbraio 2022 e che, secondo le indiscrezioni degli stessi ricercatori, potrebbero essere ancora in corso.
“L’attività iniziale di Cicada diversi anni fa era fortemente incentrata su società collegate al Giappone, sebbene in tempi più recenti sia stata collegata ad attacchi ai fornitori di servizi gestiti (Managed Service Provider, MSP) con un’impronta più globale. Tuttavia, questa campagna sembra indicare un ulteriore ampliamento del target di Cicada”, commenta il Symantec Threat Hunter Team (sezione del Broadcom Software)
L’attribuzione di tali attività a Cicada sarebbe stata assegnata per la presenza sulle reti delle vittime di un loader e di un malware personalizzati ritenuti in uso esclusivo del gruppo APT incriminato.
Indice degli argomenti
Cicada: la nuova campagna di spionaggio
La nuova serie di attacchi osservata inizierebbe con l’accesso tramite una vulnerabilità nota e non corretta nei server Microsoft Exchange (probabilmente i difetti ProxyShell e ProxyLogon le cui patch non sarebbero ancora del tutto state recepite dai clienti), utilizzandola per iniettare la backdoor SodaMaster ovvero uno strumento riconducibile sempre a Cicada.
SodaMaster è un trojan RAT basato su Windows dotato di funzionalità per facilitare il recupero di payload aggiuntivi ed esfiltrare le informazioni verso server di comando e controllo C2, in grado di garantire anche l’evasione di rilevamento sandbox e l’enumerazione di dati identificativi dei sistemi colpiti.
Inoltre, la ricerca avrebbe rilevato ulteriori strumenti impiegati in questa campagna tra cui i tool:
- Mimikatz per il dumping delle credenziali;
- NBTScan per condurre ricognizioni interne;
- WMIExec per l’esecuzione di comandi in remoto;
- VLC Media Player per avviare un loader personalizzato sugli host infetti.
Anche l’Italia nel mirino dell’attacco
Le vittime di questa campagna, secondo le ricostruzioni, sarebbero principalmente istituzioni e ONG legate a governi e che operano nei settori dell’istruzione, attività religiose, telecomunicazioni, legali e farmaceutici, sparse in un gran numero di paesi tra cui Stati Uniti, Canada, Hong Kong, Turchia, Israele, India, Montenegro e anche Italia.
“Le vittime prese di mira, i vari strumenti utilizzati in questa campagna e ciò che sappiamo dell’attività passata di Cicada indicano tutti che l’obiettivo più probabile di questa campagna è lo spionaggio”, si legge nel rapporto.
Raccomandazioni di mitigazione
Per mitigare e prevenire le ripercussioni in termini di perdite economiche e reputazionali legate a possibili attacchi di cyber spionaggio è sempre consigliabile predisporre una serie di misure di protezione.
Per tutti questi motivi, organizzazioni e istituzioni dovrebbero assimilare un approccio proattivo e multidisciplinare oltre ad una maggiore sensibilizzazione verso determinate minacce:
- pianificare una formazione aziendale regolare in materia di sicurezza informatica. Addestrare ed educare i dipendenti rendendoli non solo consapevoli dei possibili rischi ma anche partecipi della sicurezza dell’intera organizzazione;
- rafforzare la sicurezza perimetrale, con segmentazione della rete e una solida capacità di gestione degli accessi, delineando un perimetro di sicurezza ed una rete di difesa attraverso firewall, crittografia dei dati e restrizioni all’utilizzo di internet;
- ottimizzare l’intelligence sulle minacce informatiche per aiutare a riconoscere gli IoC (indicatori di compromissione) e analizzare le minacce APT (TTP – Tattiche, Tecniche e Procedure);
- definire corrette procedure per la gestione e conservazione dei dati;
- condurre un adeguato risk assessment;
- implementare un piano di risposta agli incidenti;
- monitorare le azioni poste in essere per mitigare ulteriormente i rischi, verificare l’efficacia e condurre operazioni di miglioramento.
In conclusione “colpire grandi organizzazioni e in diverse aree geografiche contemporaneamente richiederebbe risorse e abilità che generalmente si vedono solo nei gruppi sostenuti da stati nazione” e ciò dimostrerebbe per Symantec come il gruppo APT Cicada abbia ancora molte risorse e potenzialità da sfruttare nelle sue attività di spionaggio informatico.
