Redazione RHC : 28 Aprile 2025 09:19
Nel 2024, il National Internet Emergency Response Center (CNCERT) ha rilevato e gestito un grave attacco informatico condotto da un’agenzia di intelligence statunitense contro un importante fornitore cinese di prodotti crittografici commerciali. Questo rapporto illustra i dettagli dell’operazione e intende offrire un riferimento utile a Paesi e organizzazioni competenti per individuare e prevenire efficacemente gli attacchi informatici provenienti dagli Stati Uniti.
L’attacco è iniziato con lo sfruttamento di una vulnerabilità non ancora identificata all’interno del sistema di gestione delle relazioni con i clienti (CRM) dell’azienda, utilizzato principalmente per archiviare dati sui clienti e sui contratti. Gli aggressori hanno caricato file arbitrari e, dopo aver ottenuto l’accesso, hanno cancellato alcuni registri di log per eliminare le tracce dell’intrusione.
Il 5 marzo 2024 è stato impiantato un Trojan speciale all’interno del CRM, situato nel percorso /crm/WxxxxApp/xxxxxx/xxx.php. Questo malware consentiva agli aggressori di eseguire comandi di rete arbitrari. Per evitare il rilevamento, il Trojan criptava completamente le comunicazioni, adottava tecniche di codifica delle stringhe, compressione dei dati e crittografia complessa. Successivamente, a partire dal 20 maggio 2024, l’attacco si è esteso ai sistemi aziendali di gestione del codice di prodotto e dei progetti tramite movimenti laterali all’interno della rete.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Tra marzo e settembre 2024, gli aggressori hanno utilizzato 14 IP springboard situati all’estero per collegarsi ai Trojan impiantati e sottrarre dati dal CRM per un totale di circa 950 MB. Il sistema coinvolto conteneva oltre 600 utenti registrati, più di 8.000 elenchi di file cliente e oltre 10.000 ordini contrattuali, molti dei quali relativi a enti governativi e istituzioni sensibili. Gli aggressori sono riusciti ad accedere a informazioni quali il nome dei contratti, il contenuto degli acquisti, gli importi e altri dettagli riservati.
Da maggio a luglio 2024, tramite tre ulteriori IP springboard, è stato preso di mira anche il sistema di gestione del codice sorgente dell’azienda. Gli aggressori hanno sottratto circa 6,2 GB di dati, comprendenti codici sorgente protetti da password relativi a tre progetti di ricerca e sviluppo, gestiti da 44 utenti.
L’analisi forense ha rivelato alcune caratteristiche distintive dell’attacco. Il Trojan utilizzato presenta evidenti analogie con strumenti offensivi già noti, impiegati in precedenti operazioni di agenzie di intelligence statunitensi. Gli attacchi si sono concentrati tra le 22:00 e le 8:00 ora di Pechino, corrispondenti alle 10:00–20:00 ora della costa orientale degli Stati Uniti, con una netta prevalenza delle attività dal lunedì al venerdì e una sospensione durante le festività principali.
Sono stati impiegati 17 IP di attacco univoci, in grado di cambiare dinamicamente in pochi secondi. Gli indirizzi erano distribuiti in vari Paesi, tra cui Paesi Bassi, Germania e Corea del Sud, a dimostrazione dell’alto livello di attenzione anti-tracciamento e delle ampie risorse a disposizione degli aggressori.
Infine, l’operazione ha evidenziato una sofisticata capacità di elusione. Gli aggressori hanno fatto ampio uso di strumenti open source o generici per nascondersi e confondere le analisi, impiantando temporaneamente anche comuni Trojan web nei sistemi compromessi. Inoltre, hanno cancellato sistematicamente log e file dannosi per ostacolare ulteriormente le attività di rilevamento e risposta.
RedazioneTrend Micro ha rilevato un attacco mirato ai settori governativo e aeronautico in Medio Oriente, utilizzando un nuovo ransomware chiamato Charon. Gli aggressori hanno utilizzato una complessa catena d...
Diversi prodotti di sicurezza Fortinet, tra cui FortiOS, FortiProxy e FortiPAM, sono interessati da una vulnerabilità di evasione dell’autenticazione di alta gravità. La falla, monito...
Agosto Patch Tuesday: Microsoft rilascia aggiornamenti sicurezza che fixano 107 vulnerabilità nei prodotti del suo ecosistema. L’aggiornamento include correzioni per 90 vulnerabilità,...
29.000 server Exchange sono vulnerabili al CVE-2025-53786, che consente agli aggressori di muoversi all’interno degli ambienti cloud Microsoft, portando potenzialmente alla compromissione compl...
Come era prevedibile, il famigerato bug scoperto su WinRar, viene ora sfruttato attivamente dai malintenzionati su larga scala, vista la diffusione e la popolarità del software. Gli esperti di ES...
