Sarebbe attiva già dal 2019 la campagna malevola CuckooBees, passando inosservata a tutti i radar di controllo. Da allora, secondo i ricercatori di sicurezza di Cybereason, avrebbe sottratto migliaia di gigabyte di dati sensibili e di proprietà intellettuale a dozzine di imprese, attive nei settori difesa, energia, aerospaziale, biotech e farmaceutico. Le attività del gruppo cyber criminale dietro il nuovo malware sono concentrate soprattutto in Asia orientale, Europa occidentale e Nord America
“La campagna CuckooBees”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “si distingue per la sua complessità e per la capacità di non essere scoperta dal 2019”.
Indice degli argomenti
CuckooBees: la campagna malevola imperversa da tre anni
Cybereason ha pubblicato due report, per esaminare le tattiche e le tecniche della campagna CuckooBees nel complesso e per offrire un’analisi dettagliata del malware e degli exploit impiegati. La violazione di proprietà intellettuale riguarda progetti, schemi, formule, documenti sensibili ed altri dati proprietari.
Dunque, “la complessità è conseguenza delle elevate capacità del gruppo nation-state Winnti a cui è attribuita”, continua Paganini: “Il gruppo opera da oltre un decennio ed è specializzato in complesse attività di spionaggio su scala mondiale”.
Infatti, si ritiene che “Winnti operi per il governo cinese, in realtà è più corretto definirlo un ombrello di gruppi che supportano le operazioni di intelligence del governo di Pechino e che negli anni hanno condotto innumerevoli attacchi contro aziende software, organizzazioni politiche negli Stati uniti e Asia”.
Cosa sappiamo su CuckooBees
Cybereason ha spiegato i dettagli dell’operazione CuckooBees:
- attribuzione al gruppo APT Winnti: sulla base dell’analisi di artefatti forensi, ha scoperto un collegamento al gruppo APT Winnti, attivo almeno dal 2010 (il gruppo pare operare per conto di interessi statali cinesi, ed è specializzato in spionaggio informatico e furto di proprietà intellettuale);
- intrusioni di spionaggio informatico pluriennali: l’operazione agisce indisturbata ormai dal 2019 per carpire informazioni proprietarie sensibili da aziende tecnologiche e manifatturiere in Asia orientale, Europa occidentale e Nord America;
- malware e sequenza infettiva multistadio: la ricerca analizza sia il malware Winnti sia quello precedentemente non documentato con rootkit firmati digitalmente a livello di kernel, e un’elaborata catena di infezione a più stadi che ha permesso all’operazione di passare inosservata almeno dal 2019.
- The Winnti Playbook: uno sguardo unico sul playbook delle intrusioni Winnti illustra in dettaglio le tattiche più frequentemente usate, oltre ad alcune tecniche evasive meno note emerse nel corso dell’indagine;
- nuovo malware nell’arsenale di Winnti: il ceppo di malware precedentemente non documentato è denominato DEPLOYLOG, usato dal gruppo APT Winnti. Ma si accompagna a nuove versioni di malware Winnti noti, tra cui Spyder Loader, PRIVATELOG e WINNKIT;
- uso improprio e inusuale della funzione CLFS di Windows: gli attaccanti hanno sfruttato il meccanismo CLFS di Windows e le manipolazioni delle transazioni NTFS, in modo da celare i propri payload ed eludere il rilevamento da parte dei sistemi di sicurezza tradizionali;
- payload delivery intricato e interdipendente: l’analisi della complessa catena dell’infezione ha portato all’implementazione del rootkit WINNKIT composto da più elementi interdipendenti. Gli attaccanti hanno adottato un approccio ispirato a “La casa di carta”, in cui ogni componente è subordinata alle altre per operare correttamente, rendendo molto complessa l’analisi separata di ogni elemento.
CuckooBees: motivazioni finanziarie e furto della proprietà intellettuale
“L’operazione CuckooBees ha come obiettivo il furto di proprietà intellettuale, asset cruciale delle moderne imprese e patrimonio dei governi da cui dipende la sovranità nazionale”, mette in guardia Paganini: “Campagne come queste possono potenzialmente minare l’economia di un paese e depauperare aziende private della propria capacità di innovazione. Per questo motivo, la proprietà intellettuale è un obiettivo primario dello spionaggio, soprattutto da parte di attori nation-state, ed in questo la Cina si è sempre distinta”.
Tuttavia CuckooBees ha anche effetti economici, tutti da quantificare.
“Ritengo sia impossibile determinare impatto economico di operazioni come questa per molteplici fattori”, conclude Paganini: “in primis perché molte delle aziende prese di mira non sono a conoscenza di quanto sia stato loro sottratto. Unica certezza è che si tratti di cifre da capogiro che si possono quantificare in miliardi di dollari”.
Come proteggersi
Gli attaccanti hanno a disposizione una miriade di tattiche e dispositivi per colpire le aziende.
Le imprese devono innanzitutto aumentare la consapevolezza, perché l’anello debole è sempre il fattore umano (social engineering, phishing eccetera). Inoltre, devono identificare le falle per elevare il livello complessivo di sicurezza dei sistemi che usano componenti vulnerabili.
Ma non basta. Le aziende devono non solo aggiornare i sistemi operativi, applicare tempestivamente le patch rilasciate, ma offrire anche una risposta più rapida e articolata agli attacchi nation state.
Inoltre, devono diventare più consapevoli dei rischi legati a social engineering e Black Hat SEO per evitare di cadere in queste trappole.
Le organizzazioni devono anche collaborare coi loro team di sicurezza sia per prevenire gli attacchi che per mitigare rapidamente quelli in corso.
“Le vulnerabilità di sicurezza che si trovano più comunemente in attacchi come Operazione CuckooBees sono rappresentate da sistemi senza patch, segmentazione della rete insufficiente, risorse non gestite, account dimenticati e nessun utilizzo di prodotti di autenticazione a più fattori. Sebbene queste vulnerabilità possano sembrare banali e facili da correggere, la sicurezza quotidiana è complessa e non è sempre facile implementare mitigazioni su larga scala. I difensori”, conclude Lior Div, CEO e co-fondatore di Cybereason, “dovrebbero seguire framework MITRE e/o simili per assicurarsi di avere le giuste capacità di visibilità, rilevamento e riparazione in atto per proteggere le loro risorse più critiche”.
A causa dell’obsolescenza dei paradigmi tradizionali di security by design e by default, che appaiono inefficaci davanti alla velocità e all’adattabilità dei metodi di attacco sviluppati dai cyber criminali, la strada da percorrere è infine quella della security by detection e by reaction, abilitata dagli strumenti più innovativi, per identificare meglio e contrastare tempestivamente ed efficacemente le cyber minacce del mondo odierno.
