Si chiama Bronze Starlight (o DEV-0401) il gruppo hacker cinese che dal 2021 ha lanciato attacchi ransomware contro organizzazioni statali di diversi paesi. Il gruppo sfrutta un malware DLL personalizzato chiamato HUI Loader per distribuire il suo payload Cobalt Strike e il RAT (Remote Access Tool/Trojan) PlugX.
Nell’ultimo anno ha fatto affidamento su cinque diversi ransomware: LockFile, AtomSilo, Rook, Night Sky e Pandora. Oltre a fornire un mezzo per esfiltrare i dati in uno schema di doppia estorsione, questi virus permettono agli aggressori di distruggere le prove forensi delle loro attività e fungono da diversivo per mascherare il parallelo furto di dati.
Obiettivo di Bronze Starlight sono state aziende farmaceutiche in Brasile e negli Stati Uniti, progettisti e produttori di componenti elettronici in Lituania e Giappone, uno studio legale statunitense e un’organizzazione di media con sede negli Stati Uniti e uffici in Cina e ad Hong Kong.
Cyber gang: chi sono e come agiscono i gruppi criminali più pericolosi
Indice degli argomenti
Bronze Starlight e il furto della proprietà intellettuale
Compromettendo le reti, Bronze Starlight mira ai dispositivi perimetrali di rete con vulnerabilità note non ancora aggiornate. A differenza di altri gruppi, i Ransomware as a Service (RaaS), che il gruppo acquista da intermediari di accesso iniziale (Initial Access Broker) per entrare in una rete, vengono utilizzati per perpetrare attacchi che sono caratterizzati dallo sfruttamento di vulnerabilità senza patch che interessano Exchange Server, Zoho ManageEngine ADSelfService Plus, Atlassian Confluence e Apache Log4j.
I ricercatori del Counter Threat Unit di Secureworks ritengono che l’obiettivo di Bronze Starlight sia il furto della proprietà intellettuale. Infatti, il 75% delle vittime registrate potrebbe essere di interesse per gli hacker, sponsorizzati dal Governo cinese, focalizzati sullo spionaggio in base alla posizione geografica e ai settori verticali delle vittime.
Di fatto, l’impiego dei suddetti malware avrebbe lo scopo di distrarre gli investigatori durante le loro operazioni di ripristino della continuità operativa. La cadenza di questi ransomware non sembra essere in linea con le operazioni convenzionali della criminalità informatica finanziaria, portando ad escludere che nelle mire del gruppo vi sia il guadagno economico.
Per quanto riguarda i ransomware utilizzati, LockFile e AtomSilo, essi presentano una netta sovrapposizione di codice, mentre Rook, Night Sky e Pandora sembrano sfruttare il codice sorgente del ransomware Babuk, trapelato nel settembre 2021 (poco prima che iniziassero le operazioni di Rook a dicembre).
Tali virus non sembrano essere stati utilizzati da altri attori e oltre alle sovrapposizioni di codice, ci sono significative somiglianze nell’uso del malware HUI, nelle informazioni di configurazione dei beacon Cobalt Strike e nell’infrastruttura C2. Sia HUI Loader che PlugX, insieme a ShadowPad, sono malware storicamente utilizzati dai collettivi legati alla Cina.
La minaccia della Cina
Risulta, inoltre, che esiste una potenziale collaborazione tra il gruppo hacker e altri attori con base in Cina. Si tratta di una caratteristica che è stata osservata a livello più ampio in gruppi che hanno condiviso risorse, informazioni e, in alcuni casi, malware.
È stato osservato che Bronze Starlight aveva compromesso un server che eseguiva ManageEngine ADSelfService Plus per distribuire HUI Loader; un altro gruppo, chiamato Bronze University, attivo sulla medesima rete durante lo stesso periodo (da metà novembre a gennaio 2022), avrebbe raccolto le credenziali e preparato i dati per l’esfiltrazione.
Nel frattempo, Bronze Starlight ha improvvisamente sospeso la sua attività all’inizio di dicembre 2022. Sebbene i motivi di questa sospensione non siano chiari, le operazioni simultanee e continuate di un altro gruppo cinese, sulla stessa rete, suggeriscono che i due potrebbero aver “deconflittualizzato” la loro attività “post-intrusione”.
L’Annual Threat Assessment del the U.S. Intelligence Community pubblicato dall’Ufficio del Direttore dell’Intelligence Nazionale mette in evidenza come la Cina continui ad essere la maggiore minaccia di spionaggio informatico per gli Stati Uniti, capace di condurre attacchi alle infrastrutture critiche e di compromettere le reti di telecomunicazione.
Nel marzo 2022, per esempio, è stato rilevato che il gruppo APT41 ha compromesso almeno sei reti governative statali tra il maggio 2021 e il febbraio 2022. Alcuni esperti di sicurezza informatica hanno dichiarato che gli obiettivi generali di questa campagna rimangono sconosciuti, anche se sono state raccolte prove dell’esfiltrazione di informazioni personali identificabili (PII).
Le nuove strategie degli APT cinesi
Come mostrato dall’analisi di Mandiant, nel febbraio 2022, le tecniche utilizzate dai gruppi sostenuti da Pechino sembrano essere gradualmente cambiate a partire dalla ristrutturazione dell’esercito e dell’intelligence militare nel 2016.
Sebbene lo spionaggio sia stato a lungo un obiettivo degli hacker cinesi, in particolare dell’APT1 (autore di una campagna pluriennale di spionaggio aziendale a partire dal 2013), i gruppi si sono evoluti in base alle strategie delineate a livello nazionale.
Inizialmente, gli obiettivi della Cina ruotavano intorno alla propria affermazione a livello internazionale.
In seguito, tra il 2014 e il 2016, i ricercatori hanno osservato un calo generale delle attività dei gruppi filo-cinesi, il quale, secondo loro, sarebbe riconducibile ai mutamenti avvenuti all’interno dell’apparato statale.
La centralizzazione del potere e la ristrutturazione dell’esercito avrebbero infatti portato a un allontanamento dagli attacchi amatoriali a favore di azioni più mirate e sofisticate condotte da un numero più ristretto di attori.
In particolare, l’uso dei malware di spionaggio sembra essersi adattato per poter essere usato su una più ampia varietà di sistemi operativi, incorporando più virus in una singola memoria.
Cosa differenzia gli APT cinesi dagli altri gruppi criminali
Gli elementi principali che distinguono le attività dei gruppi cinesi da quella degli APT legati ad altri Stati, sono l’interesse nazionale e la portata. Pechino ha esigenze specifiche di raccolta di informazioni che difficilmente coincidono con quelle di altri paesi, come la sorveglianza e la repressione del dissenso ad Hong Kong, in Tibet e nello Xinjiang. Inoltre, in termini di grandezza, le attività informatiche cinesi presentano un raggio d’azione maggiore.
I principali mandanti delle azioni degli APT sarebbero riscontrabili nell’Esercito Popolare di Liberazione (PLA) e nel Ministero della Sicurezza di Stato (MSS). Rispetto ai gruppi legati alle forze armate, quelli vicini all’MSS sarebbero dotati di maggiori capacità di colpire obiettivi al di fuori del territorio cinese.
Questi attori utilizzano vari vettori di accesso iniziale per prendere di mira i loro bersagli, come il phishing via e-mail e altre tecniche di ingegneria sociale, la compromissione strategica del web e l’iniezione di Structured Query Language (SQL).
Allo stesso tempo, sono state impiegate altre tecniche particolari: in primo luogo, questi hacker sfruttano le falle di un software per una serie di scopi che vanno dall’ottenere informazioni su un dispositivo mirato, al causare l’interruzione del funzionamento di un apparecchio, fino a manipolare da remoto un dispositivo. Molte delle vulnerabilità sfruttate dagli autori delle minacce sono quelle zero-day, ma anche quelle n-day.
Un’altra tecnica impiegata è la compromissione di terze parti. Questa tattica fa leva sulla fiducia intrinseca che gli utenti ripongono in altri soggetti, nonché nei prodotti e nei servizi legali.
I malintenzionati spesso colpiscono fornitori di servizi professionali, come avvocati o commercialisti, o di servizi tecnologici, come le infrastrutture cloud, per ottenere l’accesso ai loro clienti.
Tali violazioni offrono maggiori vantaggi agli aggressori rispetto al singolo e diretto targeting. Infatti, una singola compromissione può facilitare l’accesso a più obiettivi e le vittime possono avere meno probabilità di rilevare un’intrusione.
Una sottocategoria di questo tipo di attacco è la compromissione della catena di fornitura. Essa si verifica quando gli aggressori ottengono l’accesso a infrastrutture legittime e vi impiantano codici dannosi. Questi ultimi vengono consegnati attraverso i canali utilizzati dagli utenti per installare hardware, software, pacchetti open-source o aggiornamenti.
Conclusioni
Alcuni esperti hanno puntualizzato come la Cina stia costruendo un ecosistema di rete dietro a dispositivi basati sull’Internet delle cose (IoT).
Ciò solleva ulteriori preoccupazioni riguardo a possibili campagne di ricognizione sia interne che esterne.
Queste azioni potrebbero essere facilitate dallo sviluppo di nuove tecnologie come le reti 5G, l’intelligenza artificiale, l’apprendimento automatico o il calcolo quantistico, le quali permetterebbero una maggiore penetrazione di software e codici malevoli e di apparecchiature utilizzate per il riconoscimento individuale.
