Microsoft ha comunicato qualche giorno fa di aver scoperto “attività dannose furtive e mirate” rivolte alle organizzazioni di infrastrutture critiche a Guam e altrove negli Stati Uniti. L’attacco è stato condotto da Volt Typhoon, un attore sponsorizzato dallo stato cinese che in genere si concentra sullo spionaggio e sulla raccolta di informazioni.
In questa campagna, le organizzazioni interessate abbracciano i settori delle comunicazioni, della produzione, dei servizi pubblici, dei trasporti, delle costruzioni, marittimo, governativo, della tecnologia dell’informazione e dell’istruzione.
Indice degli argomenti
Le attività del malware Volt Typhoon
Secondo quanto affermato da Microsoft in un aggiornamento pubblicato sul sito, “il comportamento osservato suggerisce che l’autore della minaccia intende eseguire lo spionaggio e mantenere l’accesso senza essere rilevato il più a lungo possibile”.
Volt Typhoon cerca di integrarsi nella normale attività di rete instradando il traffico attraverso apparecchiature di rete SOHO (small office and home office) compromesse, inclusi router, firewall e hardware VPN.
Con la preoccupazione che cresce di giorno in giorno sulla minaccia rappresentata da una Cina più assertiva, i politici americani sono stati recentemente spaventati dalle notizie secondo cui le gru portuali prodotte in Cina potrebbero essere dotate di dispositivi spia.
Nel mirino le risorse marittime USA
Anche lo shipping e i trasporti marittimi sono ben consapevoli della minaccia rappresentata dal malware sostenuto dallo stato.
Un importante rapporto sulla sicurezza informatica scritto da Thetius, CyberOwl e HFW lo scorso novembre ha dettagliato molti dei recenti incidenti informatici, tra cui il modo in cui il GPS della petroliera Stena Impero è stato falsificato per costringerla ad attraversare involontariamente le acque iraniane nel 2019 con la nave e il suo equipaggio poi trattenuti per mesi.
L’attrezzatura necessaria per gli attacchi GPS di base costa meno di 100 dollari, avverte il rapporto aggiungendo che le attività sponsorizzate da vari stati sono una realtà.
Anche prendere il controllo di una nave è straordinariamente facile con i dati di CyberOwl che mostrano che il 54% delle navi monitorate ha tra i 40 e i 180 dispositivi connessi a bordo. Ciò include i dispositivi previsti come workstation aziendali, PC, stampanti e telefoni aziendali.
La cosa più allarmante è che su molte navi monitorate, i sistemi che si pensava fossero isolati, come i computer del carico e i sistemi di monitoraggio dei motori, sono stati trovati in qualche modo collegati alla rete IT aziendale di bordo.
Oltre il 60% dei computer monitorati da CyberOwl dispone di vari software non ufficiali o installati dall’equipaggio e il 30% dei computer fa un uso frequente dell’account dell’amministratore locale che conferisce all’utente pieni diritti sulla macchina.
Gli altri malware usati per il cyber spionaggio
Altri aspetti chiave del rapporto di 43 pagine includono la notizia che nel febbraio dello scorso anno CyberOwl ha scoperto malware di stato sui sistemi a bordo di sette diverse navi appartenenti a una grande flotta di linea.
Il malware apparteneva alla famiglia PlugX, progettata per fornire all’attaccante l’accesso remoto al sistema interessato, seguito dal pieno controllo amministrativo della macchina senza permesso o autorizzazione. Ciò include la possibilità di manipolare file, diffonderli localmente ed eseguire comandi. La particolare variante di malware è stata scoperta per la prima volta nel 2020 e collegata allo spionaggio politico su nazioni straniere.
Il Canale di Suez è tra i corsi d’acqua più sicuri al mondo, con migliaia di soldati e posti di blocco che coprono l’arteria commerciale di 193 km. Tuttavia, nonostante l’hardware militare in loco, sono le navi che transitano nel canale che potrebbero rappresentare la più grande minaccia per la sicurezza.
Spoofing del GPS: una nuova e temibile minaccia
Con lo spoofing del GPS in aumento in più località in tutto il mondo e gli attacchi informatici che dimostrano quanto sia facile prendere il controllo di una nave, il rapporto sulla sicurezza informatica marittima ha suggerito che la Suez potrebbe subire una ripetizione del disastro Ever Given che ha bloccato il canale per sei giorni l’anno scorso, anche se questa volta per mano di hacker.
“La messa a terra dell’Ever Given nel Canale di Suez non è stata causata da un attacco informatico, ma rappresenta un esempio delle conseguenze di un tale evento”, afferma il rapporto.
