Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Le Agenzie di Intelligence USA Colpiscono un produttore di soluzioni crittografiche Cinesi

Redazione RHC : 28 Aprile 2025 09:19

Nel 2024, il National Internet Emergency Response Center (CNCERT) ha rilevato e gestito un grave attacco informatico condotto da un’agenzia di intelligence statunitense contro un importante fornitore cinese di prodotti crittografici commerciali. Questo rapporto illustra i dettagli dell’operazione e intende offrire un riferimento utile a Paesi e organizzazioni competenti per individuare e prevenire efficacemente gli attacchi informatici provenienti dagli Stati Uniti.

L’attacco è iniziato con lo sfruttamento di una vulnerabilità non ancora identificata all’interno del sistema di gestione delle relazioni con i clienti (CRM) dell’azienda, utilizzato principalmente per archiviare dati sui clienti e sui contratti. Gli aggressori hanno caricato file arbitrari e, dopo aver ottenuto l’accesso, hanno cancellato alcuni registri di log per eliminare le tracce dell’intrusione.

Il 5 marzo 2024 è stato impiantato un Trojan speciale all’interno del CRM, situato nel percorso /crm/WxxxxApp/xxxxxx/xxx.php. Questo malware consentiva agli aggressori di eseguire comandi di rete arbitrari. Per evitare il rilevamento, il Trojan criptava completamente le comunicazioni, adottava tecniche di codifica delle stringhe, compressione dei dati e crittografia complessa. Successivamente, a partire dal 20 maggio 2024, l’attacco si è esteso ai sistemi aziendali di gestione del codice di prodotto e dei progetti tramite movimenti laterali all’interno della rete.


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Tra marzo e settembre 2024, gli aggressori hanno utilizzato 14 IP springboard situati all’estero per collegarsi ai Trojan impiantati e sottrarre dati dal CRM per un totale di circa 950 MB. Il sistema coinvolto conteneva oltre 600 utenti registrati, più di 8.000 elenchi di file cliente e oltre 10.000 ordini contrattuali, molti dei quali relativi a enti governativi e istituzioni sensibili. Gli aggressori sono riusciti ad accedere a informazioni quali il nome dei contratti, il contenuto degli acquisti, gli importi e altri dettagli riservati.

Da maggio a luglio 2024, tramite tre ulteriori IP springboard, è stato preso di mira anche il sistema di gestione del codice sorgente dell’azienda. Gli aggressori hanno sottratto circa 6,2 GB di dati, comprendenti codici sorgente protetti da password relativi a tre progetti di ricerca e sviluppo, gestiti da 44 utenti.

L’analisi forense ha rivelato alcune caratteristiche distintive dell’attacco. Il Trojan utilizzato presenta evidenti analogie con strumenti offensivi già noti, impiegati in precedenti operazioni di agenzie di intelligence statunitensi. Gli attacchi si sono concentrati tra le 22:00 e le 8:00 ora di Pechino, corrispondenti alle 10:00–20:00 ora della costa orientale degli Stati Uniti, con una netta prevalenza delle attività dal lunedì al venerdì e una sospensione durante le festività principali.

Sono stati impiegati 17 IP di attacco univoci, in grado di cambiare dinamicamente in pochi secondi. Gli indirizzi erano distribuiti in vari Paesi, tra cui Paesi Bassi, Germania e Corea del Sud, a dimostrazione dell’alto livello di attenzione anti-tracciamento e delle ampie risorse a disposizione degli aggressori.

Infine, l’operazione ha evidenziato una sofisticata capacità di elusione. Gli aggressori hanno fatto ampio uso di strumenti open source o generici per nascondersi e confondere le analisi, impiantando temporaneamente anche comuni Trojan web nei sistemi compromessi. Inoltre, hanno cancellato sistematicamente log e file dannosi per ostacolare ulteriormente le attività di rilevamento e risposta.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

ToolShell: La Vulnerabilità zero-day in Microsoft SharePoint è sotto attacco da inizio di luglio
Di Redazione RHC - 24/07/2025

Secondo gli esperti di sicurezza informatica, diversi gruppi di hacker cinesi stanno sfruttando una serie di vulnerabilità zero-day in Microsoft SharePoint nei loro attacchi. In particolare, ...

Microsoft SharePoint nel mirino. Violata l’agenzia nucleare USA
Di Redazione RHC - 24/07/2025

Un attacco informatico di vasta portata ha violato la National Nuclear Security Administration (NNSA) degli Stati Uniti attraverso il software per documenti Sharepoint di Microsoft, ha confermato...

Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin
Di Simone D'Agostino - 23/07/2025

Nel febbraio 2025 avevamo già osservato il funzionamento di DDoSIA, il sistema di crowd-hacking promosso da NoName057(16): un client distribuito via Telegram, attacchi DDoS contro obiettivi europ...

Vulnerabilità critiche in Cisco ISE: aggiornamenti urgenti necessari
Di Redazione RHC - 23/07/2025

Le vulnerabilità critiche recentemente scoperte nell’infrastruttura Cisco sono già state sfruttate attivamente dagli aggressori per attaccare le reti aziendali. L’azienda ha co...

Red Hot Cyber Conference 2026. La Quinta edizione a Roma lunedì 18 e martedì 19 Maggio
Di Redazione RHC - 23/07/2025

La Red Hot Cyber Conference ritorna! Dopo il grande successo della terza e quarta edizione, torna l’appuntamento annuale gratuito ideato dalla community di RHC! Un evento pensato per ...