L'FBI ha recentemente lanciato un appello pubblico per ottenere aiuto nell'identificare i responsabili dietro una serie di intrusioni informatiche globali attribuite a hacker cinesi. L'agenzia ha dichiarato che un gruppo di minaccia persistente avanzata ha presumibilmente creato e distribuito un malware (CVE-2020-12271) come parte di una serie diffusa di intrusioni informatiche indiscriminate volte a esfiltrare dati sensibili da firewall in tutto il mondo. Queste attività dannose, note come Pacific Rim, sono state attribuite a vari gruppi sponsorizzati dallo stato cinese, tra cui APT31, APT41 e Volt Typhoon, con attacchi che risalgono alla fine del 2018.

Gli avversari hanno preso di mira infrastrutture critiche e strutture governative, principalmente nel Sud e Sud-Est asiatico, inclusi fornitori di energia nucleare, aeroporti nazionali, ospedali militari e ministeri governativi. Alcuni degli attacchi di massa successivi hanno sfruttato vulnerabilità zero-day nei firewall Sophos per compromettere i dispositivi e distribuire payload sia al firmware del dispositivo sia all'interno della rete LAN dell'organizzazione.

Dal 2021, gli attacchi si sono spostati verso obiettivi specifici, concentrandosi su enti governativi, infrastrutture critiche, organizzazioni di ricerca e sviluppo, fornitori sanitari, e settori militari e pubblici nella regione Asia-Pacifico. Gli attaccanti hanno cercato di ottenere un accesso più profondo alle organizzazioni specifiche, sfuggendo alla rilevazione e raccogliendo più informazioni tramite l'esecuzione manuale di comandi e la distribuzione di malware sofisticati come Asnarök e Gh0st RAT.

Uso del malware Pygmy Goat

Un elemento chiave di queste operazioni è stato l'uso del malware Pygmy Goat, un backdoor sofisticato che fornisce accesso remoto persistente ai firewall Sophos XG e ad altri dispositivi Linux. Questo malware, consegnato dopo lo sfruttamento delle vulnerabilità, è in grado di rispondere a pacchetti ICMP appositamente creati per stabilire connessioni proxy o backdoor verso indirizzi IP scelti dagli attaccanti.

L'analisi di Sophos ha rivelato che la campagna Pacific Rim è stata associata a istituzioni educative nella regione del Sichuan in Cina, che condividono gli exploit con gruppi attaccanti sponsorizzati dallo stato. Questo tipo di ricerca e sviluppo di vulnerabilità viene poi passato a vari gruppi cinesi con obiettivi e tecniche di post-sfruttamento diverse. Questa attività ha coinciso con il compromesso di almeno 20 reti governative canadesi da parte di hacker cinesi, con lo scopo di avanzare interessi strategici, economici e diplomatici.

Le azioni di questi gruppi includono anche la raccolta di informazioni riservate e proprietarie per ottenere vantaggi competitivi e il supporto a missioni di repressione transnazionale. Gli attori della minaccia cinese hanno mantenuto l'accesso a molteplici reti governative, raccogliendo comunicazioni e altre informazioni preziose per sostenere i loro obiettivi.