Redazione RHC : 28 Aprile 2025 09:19
Nel 2024, il National Internet Emergency Response Center (CNCERT) ha rilevato e gestito un grave attacco informatico condotto da un’agenzia di intelligence statunitense contro un importante fornitore cinese di prodotti crittografici commerciali. Questo rapporto illustra i dettagli dell’operazione e intende offrire un riferimento utile a Paesi e organizzazioni competenti per individuare e prevenire efficacemente gli attacchi informatici provenienti dagli Stati Uniti.
L’attacco è iniziato con lo sfruttamento di una vulnerabilità non ancora identificata all’interno del sistema di gestione delle relazioni con i clienti (CRM) dell’azienda, utilizzato principalmente per archiviare dati sui clienti e sui contratti. Gli aggressori hanno caricato file arbitrari e, dopo aver ottenuto l’accesso, hanno cancellato alcuni registri di log per eliminare le tracce dell’intrusione.
Il 5 marzo 2024 è stato impiantato un Trojan speciale all’interno del CRM, situato nel percorso /crm/WxxxxApp/xxxxxx/xxx.php
. Questo malware consentiva agli aggressori di eseguire comandi di rete arbitrari. Per evitare il rilevamento, il Trojan criptava completamente le comunicazioni, adottava tecniche di codifica delle stringhe, compressione dei dati e crittografia complessa. Successivamente, a partire dal 20 maggio 2024, l’attacco si è esteso ai sistemi aziendali di gestione del codice di prodotto e dei progetti tramite movimenti laterali all’interno della rete.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Tra marzo e settembre 2024, gli aggressori hanno utilizzato 14 IP springboard situati all’estero per collegarsi ai Trojan impiantati e sottrarre dati dal CRM per un totale di circa 950 MB. Il sistema coinvolto conteneva oltre 600 utenti registrati, più di 8.000 elenchi di file cliente e oltre 10.000 ordini contrattuali, molti dei quali relativi a enti governativi e istituzioni sensibili. Gli aggressori sono riusciti ad accedere a informazioni quali il nome dei contratti, il contenuto degli acquisti, gli importi e altri dettagli riservati.
Da maggio a luglio 2024, tramite tre ulteriori IP springboard, è stato preso di mira anche il sistema di gestione del codice sorgente dell’azienda. Gli aggressori hanno sottratto circa 6,2 GB di dati, comprendenti codici sorgente protetti da password relativi a tre progetti di ricerca e sviluppo, gestiti da 44 utenti.
L’analisi forense ha rivelato alcune caratteristiche distintive dell’attacco. Il Trojan utilizzato presenta evidenti analogie con strumenti offensivi già noti, impiegati in precedenti operazioni di agenzie di intelligence statunitensi. Gli attacchi si sono concentrati tra le 22:00 e le 8:00 ora di Pechino, corrispondenti alle 10:00–20:00 ora della costa orientale degli Stati Uniti, con una netta prevalenza delle attività dal lunedì al venerdì e una sospensione durante le festività principali.
Sono stati impiegati 17 IP di attacco univoci, in grado di cambiare dinamicamente in pochi secondi. Gli indirizzi erano distribuiti in vari Paesi, tra cui Paesi Bassi, Germania e Corea del Sud, a dimostrazione dell’alto livello di attenzione anti-tracciamento e delle ampie risorse a disposizione degli aggressori.
Infine, l’operazione ha evidenziato una sofisticata capacità di elusione. Gli aggressori hanno fatto ampio uso di strumenti open source o generici per nascondersi e confondere le analisi, impiantando temporaneamente anche comuni Trojan web nei sistemi compromessi. Inoltre, hanno cancellato sistematicamente log e file dannosi per ostacolare ulteriormente le attività di rilevamento e risposta.
I ricercatori di Okta hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...
Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...
La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...
Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...
Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la scoperta di un sistema su larga scala in cui falsi specialisti IT provenienti dalla RPDC i quali ottenevano lavoro presso aziende americ...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006