I recenti attacchi informatici hanno visto protagonisti hacker cinesi che utilizzano un arsenale avanzato chiamato CloudScout per rubare cookie di sessione dai servizi cloud. Tra le vittime principali figurano un'entità governativa e un'organizzazione religiosa a Taiwan, bersagliate da un gruppo di minacce noto come Evasive Panda. Questo attore è noto per la sua abilità nel compromettere sistemi attraverso vari vettori di accesso iniziali, incluse nuove vulnerabilità di sicurezza e attacchi alla catena di approvvigionamento tramite avvelenamento DNS.

CloudScout e la sua infrastruttura

Il toolset CloudScout, identificato da ricercatori di sicurezza, è stato usato per infiltrarsi in questi sistemi tra maggio 2022 e febbraio 2023. È composto da 10 moduli scritti in C#, tre dei quali sono specificamente progettati per sottrarre dati da Google Drive, Gmail e Outlook. La particolarità di CloudScout risiede nel suo funzionamento come estensione dell'infrastruttura malware MgBot di Evasive Panda, utilizzando una tecnica nota come "pass-the-cookie" per dirottare sessioni autenticati nei browser web.

Funzionalità dei moduli CloudScout

Ogni modulo di CloudScout è implementato tramite un plugin di MgBot, scritto in C++, e si avvale del pacchetto CommonUtilities, che offre librerie a basso livello necessarie per il funzionamento dei moduli. Queste librerie sono personalizzate per dare maggiore controllo agli sviluppatori rispetto alle alternative open-source. Tra le funzionalità principali di queste librerie vi sono HTTPAccess per gestire le comunicazioni HTTP e ManagedCookie per la gestione dei cookie nelle richieste web.

Esfiltrazione dei dati e misure di sicurezza

Le informazioni raccolte dai moduli – che includono elenchi di cartelle di posta, messaggi email con allegati e file di specifiche estensioni – sono compresse in un archivio ZIP per l'esfiltrazione successiva tramite MgBot o Nightdoor. Tuttavia, le nuove misure di sicurezza introdotte da Google, come le credenziali di sessione legate al dispositivo (DBSC) e la crittografia legata alle app, potrebbero rendere obsoleti i malware basati sul furto di cookie.

Contesto internazionale

Nel contesto internazionale, il governo canadese ha accusato un "sofisticato attore di minacce sponsorizzato dallo stato" cinese di condurre operazioni di ricognizione su vasta scala, colpendo numerosi domini in Canada. Tra le organizzazioni coinvolte vi sono dipartimenti governativi, partiti politici federali, infrastrutture critiche e istituzioni democratiche, evidenziando l'ampiezza e la profondità delle operazioni di cyber spionaggio condotte da gruppi come Evasive Panda.