Microsoft ha mitigato con successo un attacco da parte di un attore di minacce con base in Cina, noto come Storm-0558. Gli obiettivi principali di questo attore sono le agenzie governative dell’Europa occidentale, con particolare attenzione allo spionaggio, al furto di dati e all’accesso alle credenziali.
L’attacco, iniziato il 15 maggio 2023, ha portato all’accesso non autorizzato agli account e-mail di circa 25 organizzazioni, tra cui agenzie governative e account di consumatori associati.
L’attore della minaccia ha utilizzato token di autenticazione contraffatti utilizzando una chiave di firma degli account di utenti Microsoft acquisita per ottenere l’accesso a Outlook Web Access in Exchange Online (OWA) e Outlook.com.
Microsoft ha adottato misure proattive per bloccare le attività dell’attore, tra cui il blocco dell’uso dei token firmati con la chiave MSA acquisita, la sostituzione della chiave e il blocco dell’uso dei token emessi con la chiave per i clienti consumer interessati.
L’azienda ha collaborato con la Cybersecurity and Infrastructure Security Agency (CISA) del Dipartimento della Sicurezza Nazionale e con altri enti per proteggere i clienti interessati.
Cyber spionaggio, così la Cina protegge i suoi interessi strategici: il caso dell’attacco al Kenya
Indice degli argomenti
Le attività del gruppo filocinese Storm-0558
In un avviso pubblicato l’11 luglio, Microsoft ha dichiarato che Storm-0558 prende di mira principalmente le agenzie governative dell’Europa occidentale e si concentra su spionaggio, furto di dati e accesso alle credenziali.
Tuttavia, evidentemente questo gruppo di minacce ha una portata molto più ampia. Il 12 luglio, inoltre, la Cybersecurity and Infrastructure Security Agency (CISA) ha dichiarato che nel giugno 2023, un’agenzia federale civile del ramo esecutivo (FCEB) ha identificato un’attività sospetta nel proprio ambiente cloud Microsoft 365.
L’agenzia civile ha segnalato il problema a Microsoft e al CISA e Microsoft ha stabilito che gli attori delle minacce costanti avanzate (APT) hanno avuto accesso ai dati non classificati di Exchange Online Outlook e li hanno esfiltrati.
Il CISA e l’FBI hanno pubblicato un avviso che offre indicazioni alle organizzazioni di infrastrutture critiche per il monitoraggio degli ambienti Microsoft Exchange Online. Va notato che l’advisory CISA-FBI non cita la Cina per nome, ma rimanda all’advisory Microsoft dell’11 luglio su Storm-0558, oggetto del recente avviso pubblicato da Microsoft.
La minaccia dello spionaggio informatico cinese
Lo spionaggio informatico cinese ha fatto molta strada rispetto alle tattiche di smash-and-grab, ha dichiarato John Hultquist, analista capo di Mandiant presso Google Cloud.
Hultquist ha affermato che i cinesi hanno trasformato la loro capacità da quella dominata da campagne ampie e rumorose che erano molto più facili da rilevare e che “piuttosto che manipolare vittime ignare per indurle ad aprire file o link dannosi, questi attori stanno innovando e progettando nuovi metodi che ci stanno già sfidando. Stanno guidando i loro colleghi nella diffusione degli zero-day e si sono ritagliati una nicchia prendendo di mira specificamente i dispositivi di sicurezza. La realtà è che ci troviamo di fronte a un avversario più sofisticato che mai e dovremo impegnarci molto di più per tenergli testa”.
Mentre gli attacchi informatici diventano sempre più sofisticati e frequenti, gli attori motivati delle minacce non risparmiano sforzi per compromettere i sistemi informatici.
Questi avversari dotati di buone risorse, come Storm-0558, non fanno distinzione tra il colpire account aziendali o personali associati alle organizzazioni cui sono destinati.
Storm-0558, identificato come un gruppo APT attivo soprattutto nel campo dello spionaggio, si concentra principalmente sull’accesso ai sistemi di posta elettronica per la raccolta di informazioni, abusando delle credenziali per accedere ai dati dei sistemi sensibili.
Le attività malevoli dei gruppi filocinesi
Ad aggravare le crescenti preoccupazioni, nelle ultime settimane sono arrivate altre due segnalazioni di sofisticate attività dannose provenienti dalla Cina.
Il 23 giugno, i ricercatori di Check Point hanno segnalato una campagna mirata del gruppo APT cinese Mustang Panda, noto anche come Camaro Dragon, che coinvolgeva malware di spionaggio. La campagna ha preso di mira specificamente il settore sanitario europeo attraverso l’uso di unità USB.
Il malware, come si legge nel post del blog di CPR, fa parte del set di strumenti “SSE” precedentemente segnalato da Avast e utilizza un launcher Delphi dannoso memorizzato sulla chiavetta USB infetta. Una volta eseguito, il programma implementa una backdoor principale e diffonde l’infezione ad altre unità collegate.
Proseguendo l’indagine, Check Point ha pubblicato un altro rapporto il 5 luglio, evidenziando il crescente interesse degli attori cinesi delle minacce nel colpire i governi europei, le ambasciate e le entità coinvolte nella definizione delle politiche estere.
La tecnica dell’HTML smuggling
Mustang Panda è emerso ancora una volta come il gruppo dietro la campagna, utilizzando un malware inedito denominato SmugX.
I ricercatori affermano che questa campagna è attiva dal dicembre 2022, ma ritengono che si tratti di un’estensione di una campagna precedentemente scoperta, legata ai gruppi APT cinesi Mustang Panda e RedDelta.
Per quanto riguarda il metodo di attacco, la ricerca ha rivelato che in SmugX gli aggressori utilizzano il contrabbando di HTML per colpire le ambasciate europee. In questo metodo, l’impianto modulare del malware PlugX viene contrabbandato (nascosto) all’interno di documenti HTML.
Gli hacker utilizzano questa tecnica per ingannare i sistemi di sicurezza web ed eludere i meccanismi antivirus o le difese di sicurezza.
L’HTML smuggling sfrutta le caratteristiche dell’HTML per nascondere i documenti di dati dannosi ai filtri automatici dei contenuti, includendoli come blob JavaScript che si riassemblano sul dispositivo preso di mira.
I fattori chiave della cyber minaccia cinese
Lo spionaggio informatico cinese rappresenta una minaccia ad alta frequenza e di grande entità per le organizzazioni a livello globale, sia nel settore pubblico che in quello privato.
I fattori chiave dell’attività di minaccia informatica cinese sono l’integrità territoriale e la stabilità interna, l’egemonia regionale e l’espansione dell’influenza politica ed economica globale.
Le attività di spionaggio informatico e di operazioni informatiche a sostegno della sicurezza nazionale e degli interessi economici della Cina continueranno ad aumentare.
Nel 2022, una campagna di operazioni informative a favore della Repubblica Popolare Cinese (RPC) ha preso di mira direttamente entità commerciali in un settore di importanza strategica per Pechino.
Si ritiene che questo più ampio obiettivo di entità del settore privato sia degno di nota e potremmo vedere i concorrenti globali delle aziende cinesi in altri settori presi di mira da tali operazioni informative.
