Attacchi di Cyberspionaggio Cinesi Contro le Telecomunicazioni Asiatiche

Le telecomunicazioni sono un settore strategico per lo sviluppo economico e la sicurezza nazionale di molti paesi asiatici. Tuttavia, questo settore è anche esposto a minacce informatiche da parte di attori statali e non statali che cercano di rubare informazioni sensibili, influenzare le reti o interrompere i servizi. Negli ultimi anni, gruppi di cyberspionaggio legati alla Cina hanno preso di mira operatori di telecomunicazioni in Asia in campagne sofisticate e persistenti. Secondo un rapporto di Symantec, queste attività sono iniziate almeno dal 2021 e hanno coinvolto strumenti e tecniche avanzate, spesso associati a gruppi noti come Fireant, Needleminer e Firefly. In questo articolo, analizzeremo le caratteristiche principali di queste campagne, gli obiettivi e le motivazioni degli attaccanti, e le possibili contromisure da adottare per proteggere le infrastrutture critiche.

Attacchi

Le campagne hanno sfruttato vulnerabilità nei server Microsoft Exchange per infiltrarsi nelle reti delle telecomunicazioni. Una volta ottenuto l’accesso, gli attaccanti hanno implementato backdoor personalizzate, come Coolclient e Quickheal, e strumenti per il keylogging, il port scanning e il furto di credenziali​ (Symantec Enterprise Blogs)​​ (BankInfoSecurity)​. Gli attacchi miravano a raccogliere informazioni sensibili, comprese le comunicazioni dei clienti e i dettagli delle chiamate, potenzialmente per scopi di spionaggio contro governi, aziende e individui di interesse per il governo cinese​ (BankInfoSecurity)​​ (Sechub)​.

Questi attacchi hanno avuto come obiettivo le telecomunicazioni in vari paesi asiatici, tra cui l’India, il Pakistan, il Nepal e il Bangladesh. Gli attaccanti hanno cercato di ottenere l’accesso ai sistemi interni e alle informazioni degli operatori, come i dati degli abbonati, le configurazioni di rete e i piani di sviluppo. Le campagne hanno sfruttato vulnerabilità note nei server Microsoft Exchange per installare backdoor personalizzate che consentivano agli attaccanti di mantenere una presenza furtiva e di eseguire comandi remoti.

Le principali caratteristiche di queste backdoor sono:

• Coolclient: Utilizzato dal gruppo Fireant, un gruppo di cyberspionaggio che opera dal 2017 e si concentra su obiettivi governativi e militari. Questa backdoor include funzionalità di logging dei tasti, lettura e cancellazione di file, e comunicazione con un server C&C tramite una porta TCP specificata.
• Quickheal: Associato al gruppo Needleminer, un gruppo di cyberspionaggio che agisce dal 2018 e mira a raccogliere informazioni economiche e geopolitiche. Questa backdoor impiega un protocollo di comunicazione personalizzato mascherato da traffico SSL, che rende difficile la sua individuazione e analisi. La backdoor può anche scaricare e caricare file, eseguire processi e registrare i tasti premuti.
• Rainyday: Legato al gruppo Firefly, un gruppo di cyberspionaggio che opera dal 2019 e si focalizza su obiettivi nel settore energetico e delle telecomunicazioni. Questa backdoor viene caricata tramite file legittimi, come script PowerShell o documenti Word, per mascherare la sua presenza. La backdoor è in grado di comunicare con un server C&C tramite HTTP o HTTPS, e di eseguire diverse operazioni, come catturare schermate, modificare i registri e accedere ai database.

Queste campagne dimostrano le capacità e le intenzioni degli attori cinesi di cyberspionaggio nel settore delle telecomunicazioni, che rappresenta un’area di interesse strategico per la Cina. Gli attaccanti potrebbero usare le informazioni rubate per scopi di intelligence, guerra informatica o influenza politica. Per contrastare queste minacce, gli operatori di telecomunicazioni dovrebbero adottare misure di sicurezza adeguate, come patchare le vulnerabilità, monitorare le anomalie di rete, segmentare le reti e formare il personale.

Tecniche e Procedure

Oltre alle backdoor, gli attaccanti hanno usato:

• Malware per keylogging: questo tipo di malware registra i tasti premuti sulla tastiera del computer infetto, al fine di catturare le password e altri dati sensibili degli utenti. Il malware invia periodicamente i dati raccolti al server C&C degli attaccanti, che possono usarli per accedere ad altre risorse di rete.
• Strumenti per il port scanning: questi strumenti permettono di scoprire quali porte di rete sono aperte o chiuse su un determinato host o segmento di rete. Gli attaccanti usano questi strumenti per identificare le potenziali vulnerabilità o i servizi esposti sui sistemi bersaglio, e per pianificare gli attacchi successivi.
• Furto di credenziali: questa tecnica consiste nel rubare le credenziali di accesso, come nomi utente e password, di utenti legittimi o amministratori di rete. Questo può avvenire tramite malware per keylogging, phishing, brute force o sniffing di rete. Le credenziali rubate possono essere usate per accedere a sistemi o reti protette, o per compromettere ulteriormente la sicurezza delle organizzazioni vittime.
• Strumenti pubblicamente disponibili come Responder per l’avvelenamento dei nomi di rete: Responder è uno strumento open source che sfrutta una debolezza del protocollo di risoluzione dei nomi NetBIOS, usato da Windows per identificare i dispositivi in rete. Responder si finge un server NetBIOS e risponde alle richieste dei client, facendoli credere di essere il server legittimo. In questo modo, Responder può intercettare le richieste di autenticazione dei client e catturare le loro credenziali in chiaro o in formato hash.

Queste tecniche aggiuntive mostrano il livello di sofisticazione e di persistenza degli attori cinesi di cyberspionaggio, che usano una varietà di strumenti e metodi per infiltrarsi nelle reti delle telecomunicazioni e sottrarre informazioni preziose. Queste tecniche rendono anche più difficile rilevare e contrastare gli attacchi, poiché si basano su tecniche di mascheramento, di scansione passiva o di abuso di protocolli legittimi. Per questo motivo, le organizzazioni coinvolte nel settore delle telecomunicazioni dovrebbero prestare particolare attenzione alla sicurezza delle loro reti e dei loro sistemi, e implementare le migliori pratiche di difesa consigliate dagli esperti.

Obiettivi e Implicazioni

Gli attacchi hanno mirato a raccogliere informazioni sensibili dalle telecomunicazioni, comprese le comunicazioni dei clienti e i dettagli delle chiamate, potenzialmente per scopi di spionaggio contro governi, aziende e individui. L’attività è stata particolarmente mirata verso paesi dell’ASEAN, alcuni dei quali hanno contese territoriali e politiche con la Cina. Gli esperti ritengono che queste intrusioni potrebbero preparare il terreno per future interruzioni delle infrastrutture critiche, qualora gli attaccanti decidessero di cambiare obiettivi dall’espionage all’interferenza diretta​ (Sechub)​.

L’attività è stata particolarmente mirata verso paesi dell’ASEAN, alcuni dei quali hanno contese territoriali e politiche di lunga data con la Cina. Gli esperti di sicurezza ritengono che questi attacchi potrebbero non solo servire per lo spionaggio, ma anche per preparare il terreno per possibili future interruzioni delle infrastrutture critiche, qualora gli attaccanti decidessero di passare dall’espionage all’interferenza diretta​ (Sechub)​.

Protezione e Mitigazione

Symantec consiglia alle organizzazioni di aggiornare regolarmente le protezioni di sicurezza e monitorare costantemente le reti per attività sospette. Gli Indicatori di Compromissione (IOC) sono disponibili per aiutare le organizzazioni a rilevare e bloccare queste minacce​ (Symantec Enterprise Blogs)​.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore