Un recente attacco informatico ha colpito una grande azienda statunitense, con forti sospetti che dietro l'intrusione vi siano hacker cinesi. La violazione, durata quattro mesi, è stata rilevata per la prima volta l'11 aprile 2024 e si è protratta fino ad agosto. Tuttavia, gli esperti di sicurezza di Symantec non escludono la possibilità che l'attacco possa essere iniziato ancora prima.

Movimenti laterali e obiettivi degli hacker

Gli hacker sono riusciti a muoversi lateralmente all'interno della rete dell'organizzazione, compromettendo diversi computer. Tra gli obiettivi principali vi erano i server di Exchange, utilizzati per raccogliere informazioni tramite l'intercettazione delle email. Sono stati inoltre utilizzati strumenti di esfiltrazione per sottrarre dati sensibili dall'organizzazione.

Identità e sospetti

L'identità dell'ente colpito non è stata divulgata, ma è noto che esso ha una presenza significativa in Cina. Gli indizi che portano alla Cina derivano dall'uso di tecniche di "DLL side-loading", una metodologia preferita da diversi gruppi di minaccia cinesi, e dalla presenza di artefatti precedentemente associati a un'operazione statale nota come Crimson Palace.

Storia degli attacchi

Nel 2023, lo stesso ente statunitense era stato preso di mira da un gruppo di hacker sospettato di essere collegato a Daggerfly, un altro collettivo di hacker cinesi noto anche come Bronze Highland, Evasive Panda e StormBamboo. L'attacco ha comportato l'uso di strumenti open-source come FileZilla, Impacket e PSCP, oltre a programmi "living-off-the-land" come Windows Management Instrumentation (WMI), PsExec e PowerShell.

Metodi di attacco

Il metodo iniziale di accesso al network rimane sconosciuto, ma l'analisi di Symantec ha rivelato che il primo segnale di compromissione è stato un comando eseguito tramite WMI da un altro sistema sulla rete, suggerendo che almeno un'altra macchina fosse già stata compromessa prima dell'11 aprile.

Le attività malevole realizzate dagli hacker includevano il furto di credenziali, l'esecuzione di file DLL malevoli, l'attacco ai server Microsoft Exchange e il download di strumenti come FileZilla, PSCP e WinRAR. I server Exchange erano particolarmente bersagliati, indicando un tentativo di esfiltrare dati email.

Sofisticazione delle campagne di cyber-spionaggio

Questa intrusione evidenzia la sofisticazione e la persistenza delle campagne di cyber-spionaggio sponsorizzate dallo stato cinese, che spesso coinvolgono università e contractor per attacchi diretti da enti governativi. Queste operazioni sono spesso mascherate da aziende fittizie, che, oltre a procurarsi le infrastrutture digitali necessarie, servono anche come copertura per il reclutamento di personale dedicato alle operazioni di hacking.