Redazione RHC : 28 Aprile 2025 09:19
Nel 2024, il National Internet Emergency Response Center (CNCERT) ha rilevato e gestito un grave attacco informatico condotto da un’agenzia di intelligence statunitense contro un importante fornitore cinese di prodotti crittografici commerciali. Questo rapporto illustra i dettagli dell’operazione e intende offrire un riferimento utile a Paesi e organizzazioni competenti per individuare e prevenire efficacemente gli attacchi informatici provenienti dagli Stati Uniti.
L’attacco è iniziato con lo sfruttamento di una vulnerabilità non ancora identificata all’interno del sistema di gestione delle relazioni con i clienti (CRM) dell’azienda, utilizzato principalmente per archiviare dati sui clienti e sui contratti. Gli aggressori hanno caricato file arbitrari e, dopo aver ottenuto l’accesso, hanno cancellato alcuni registri di log per eliminare le tracce dell’intrusione.
Il 5 marzo 2024 è stato impiantato un Trojan speciale all’interno del CRM, situato nel percorso /crm/WxxxxApp/xxxxxx/xxx.php. Questo malware consentiva agli aggressori di eseguire comandi di rete arbitrari. Per evitare il rilevamento, il Trojan criptava completamente le comunicazioni, adottava tecniche di codifica delle stringhe, compressione dei dati e crittografia complessa. Successivamente, a partire dal 20 maggio 2024, l’attacco si è esteso ai sistemi aziendali di gestione del codice di prodotto e dei progetti tramite movimenti laterali all’interno della rete.
 CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHCSei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Tra marzo e settembre 2024, gli aggressori hanno utilizzato 14 IP springboard situati all’estero per collegarsi ai Trojan impiantati e sottrarre dati dal CRM per un totale di circa 950 MB. Il sistema coinvolto conteneva oltre 600 utenti registrati, più di 8.000 elenchi di file cliente e oltre 10.000 ordini contrattuali, molti dei quali relativi a enti governativi e istituzioni sensibili. Gli aggressori sono riusciti ad accedere a informazioni quali il nome dei contratti, il contenuto degli acquisti, gli importi e altri dettagli riservati.
Da maggio a luglio 2024, tramite tre ulteriori IP springboard, è stato preso di mira anche il sistema di gestione del codice sorgente dell’azienda. Gli aggressori hanno sottratto circa 6,2 GB di dati, comprendenti codici sorgente protetti da password relativi a tre progetti di ricerca e sviluppo, gestiti da 44 utenti.
L’analisi forense ha rivelato alcune caratteristiche distintive dell’attacco. Il Trojan utilizzato presenta evidenti analogie con strumenti offensivi già noti, impiegati in precedenti operazioni di agenzie di intelligence statunitensi. Gli attacchi si sono concentrati tra le 22:00 e le 8:00 ora di Pechino, corrispondenti alle 10:00–20:00 ora della costa orientale degli Stati Uniti, con una netta prevalenza delle attività dal lunedì al venerdì e una sospensione durante le festività principali.
Sono stati impiegati 17 IP di attacco univoci, in grado di cambiare dinamicamente in pochi secondi. Gli indirizzi erano distribuiti in vari Paesi, tra cui Paesi Bassi, Germania e Corea del Sud, a dimostrazione dell’alto livello di attenzione anti-tracciamento e delle ampie risorse a disposizione degli aggressori.
Infine, l’operazione ha evidenziato una sofisticata capacità di elusione. Gli aggressori hanno fatto ampio uso di strumenti open source o generici per nascondersi e confondere le analisi, impiantando temporaneamente anche comuni Trojan web nei sistemi compromessi. Inoltre, hanno cancellato sistematicamente log e file dannosi per ostacolare ulteriormente le attività di rilevamento e risposta.
RedazioneIl 15 ottobre 2025 segna un anniversario di eccezionale rilievo nella storia della sicurezza nazionale italiana: cento anni dalla nascita del Servizio Informazioni Militare (SIM), primo servizio di in...
Un nuovo post sul dark web offre l’accesso completo a migliaia di server e database MySQL appartenenti a provider italiani di hosting condiviso. Nelle ultime ore è apparso su un forum underground u...
Un grave incidente di sicurezza è stato segnalato da F5, principale fornitore di soluzioni per la sicurezza e la distribuzione delle applicazioni. Era stato ottenuto l’accesso a lungo termine ai si...
Un nuovo e insolito metodo di jailbreaking, ovvero l’arte di aggirare i limiti imposti alle intelligenze artificiali, è arrivato in redazione. A idearlo è stato Alin Grigoras, ricercatore di sicur...
Nel suo ultimo aggiornamento, il colosso della tecnologia ha risolto 175 vulnerabilità che interessano i suoi prodotti principali e i sistemi sottostanti, tra cui due vulnerabilità zero-day attivame...
