Guerra Cibernetica

NSA rilascia una guida per la difesa da cyberattacchi cinesi

di Redazione
scritto da Redazione 0 commenti
Image 31 ago 2025 16 52 40

La NSA e un fronte di agenzie alleate hanno pubblicato una Cybersecurity Advisory congiunta, datata 27 agosto 2025, per contrastare i cyberattacchi di attori statali della Repubblica Popolare Cinese. Il documento affronta minacce APT che prendono di mira infrastrutture critiche a livello globale, tra cui telecomunicazioni, enti governativi, trasporti, alloggi e comparti militari. La guida descrive tattiche, tecniche e procedure impiegate per accesso iniziale, persistenza, raccolta ed esfiltrazione dei dati, fornendo indicatori di compromissione e un catalogo delle vulnerabilità più sfruttate. L’avviso nasce dalla collaborazione fra NSA, CISA e FBI con i partner di Australia, Canada, Nuova Zelanda, Regno Unito, Repubblica Ceca, Finlandia, Germania, Italia, Giappone, Paesi Bassi, Polonia e Spagna. Gli analisti segnalano sovrapposizioni con cluster osservati come Salt Typhoon e chiamano in causa società cinesi quali Sichuan Juxinhe Network Technology Co. Ltd., Beijing Huanyu Tianqiong Information Technology Co. Ltd. e Sichuan Zhixin Ruijie Network Technology Co. Ltd., ritenute abilitatrici di servizi cyber per il Ministero della Sicurezza di Stato e per l’Esercito di Liberazione Popolare. La guida offre indicatori operativi immediatamente utilizzabili per individuare attività sconosciute e invita i difensori a condividere tempestivamente le evidenze con le autorità, per migliorare l’attribuzione degli accessi iniziali e ridurre la dwell time degli avversari.

Accesso iniziale: dispositivi edge e protocolli di gestione

Gli attori statali PRC sfruttano vulnerabilità note su apparati di frontiera come router e firewall, dove il controllo è spesso meno rigoroso. Gli exploit ricorrenti coinvolgono CVE-2024-21887 su Ivanti, CVE-2024-3400 su Palo Alto, CVE-2023-20273 e CVE-2023-20198 su Cisco IOS XE, oltre alla storica CVE-2018-0171. Le intrusioni si appoggiano a VPS e a router compromessi usati come trampolini per colpire operatori di telecomunicazioni e fornitori internet. Gli avversari alterano routing e policy di monitoraggio per attivare mirroring del traffico tramite SPAN/ERSPAN e instradano i flussi verso tunnel GRE/IPsec funzionali all’esfiltrazione a bassa rumorosità. Il pivot prosegue attraverso connessioni fidate e domini interni, con attenzione ai protocolli di autenticazione come TACACS+ e RADIUS. La ricognizione include enumerazione MIB via SNMP, mappatura delle interfacce e individuazione di liste di controllo accesso da manipolare. La convergenza con i profili di Salt Typhoon conferma campagne in corso dal 2021, orientate a spionaggio industriale e raccolta credenziali in reti ad alta criticità. La scelta di porte non standard per SSH e HTTP e l’uso di contenitori Guest Shell su Cisco IOS XE facilitano lo staging di strumenti e lo spostamento laterale, con script Tcl come TCLproxy.tcl e map.tcl impiegati per automazione e persistenza. L’indicazione operativa è una sola: patching immediato e monitoraggio delle variazioni di configurazione come canale privilegiato per scoprire l’accesso iniziale.

Persistenza: ACL, chiavi SSH e living-off-the-land

La persistenza si regge su modifiche mirate alle ACL denominate “access-list 20”, “50” o “10”, con apertura di porte non standard per SSH e HTTPS, spesso accompagnata dall’installazione di chiavi SSH. Gli operatori verificano sandbox ed emulatori, terminando i processi quando rilevano strumenti di analisi. La catena offensiva impiega packer custom per offuscare il codice, hijack COM su CLSID selezionati e script .sct in Base64 eseguiti su trigger Explorer. Il payload è adattivo: seleziona shellcode per architettura, ricorre a reflection per l’esecuzione in memoria ed evita l’impronta su disco. La manipolazione dei server TACACS+ consente bypass delle policy, mentre SNMP fornisce un canale per enumerazioni e alterazioni di basso profilo. Tra gli indicatori host-level emergono file PCAP dal nome prevedibile, come “mycap.pcap” o “tac.pcap”, e la presenza di SSH su TCP/57722 in ambienti IOS XR. La sorveglianza delle chiamate “guestshell enable”, la rilevazione di VRF inattesi attraverso “chvrf” o “dohost” e i controlli su account non root costituiscono segnali di persistenza silente. Gli attori aggirano gli EDR con iniezioni e unhooking API, mantenendo beacon periodici a bassa frequenza e C2 adattivi. Le misure consigliate includono isolamento rigoroso del piano di gestione e blocco delle connessioni in uscita dai segmenti management, con rotazione delle credenziali e hardening dei servizi esposti.

Raccolta dati: cattura dei flussi e abuso di protocolli

La raccolta dell’informazione privilegia i protocolli di autenticazione, i flussi credenziali e i servizi di rete ad alto valore. Gli operatori avviano catture PCAP con strumenti nativi come Cisco Embedded Packet Capture, salvando file con nomi di comodo quali “mycap.pcap” e “tac.pcap” per TCP/49 dedicato a TACACS+. Le configurazioni TACACS+ vengono ridefinite verso IP controllati dagli avversari; in parallelo, SNMP serve a interrogare MIB e interfacce per mappare domini, ACL e servizi. La ricognizione attiva su peering e trust interdominio prepara il terreno allo spostamento laterale, mentre canali C2 separati gestiscono in modo distinto comando ed esfiltrazione. La presenza di MPLS, GRE e IPsec su dorsali ad alto throughput maschera l’estrazione in contesti rumorosi. Le raccomandazioni enfatizzano syslog a livello “informational”, inoltro cifrato verso server centrali, AAA per l’accounting dei comandi privilegiati e monitoraggio SNMP SET come trappola di manomissione.

Esfiltrazione: tunnel, mimetismo HTTP e infrastruttura C2

La fase di esfiltrazione sfrutta connessioni fidate e modifiche al routing per attivare mirroring e inoltrare il traffico verso tunnel cifrati. VPS e router compromessi fungono da nodi di staging, mentre i PCAP e i dump credenziali transitano su HTTPS mimetico. Le comunicazioni C2 adottano user-agent comuni come Mozilla/IE, impiegano cifrari agili come RC4 e caricamenti in memoria per ridurre gli artifact. Gli operatori occultano funzioni nel contesto TLS, orchestrano message queue per i comandi, e gestiscono DGA per domini C2 dinamici. Tra gli IOC spiccano IP dedicati come 166.88.2.90, pattern DNS TXT compatibili con tunneling e comportamenti HTTP fuori baseline. Le contromisure includono autenticazione del routing, validazione delle statiche, limiti ai prefissi BGP, policy IKE non di default e cifrature forti come AES-256 e SHA-384 per le VPN, riducendo le finestre adatte all’esfiltrazione stealth.

Rilevazione e caccia: segnali di basso profilo

La guida privilegia una caccia proattiva basata su telemetrie di configurazione e indicatori di basso profilo. Le priorità operative comprendono il controllo dei contenitori come Guest Shell, l’integrità del firmware, la verifica dei tunnel e la tracciatura dei comandi che avviano PCAP o SPAN/ERSPAN. L’uso di porte non standard per SSH, la comparsa di file PCAP inattesi e le VRF anomale compongono un quadro indiziario che, in presenza di packer multilivello e anti-debug (ad esempio basati su RDTSC), richiede correlazioni multi-sorgente. L’integrazione di DNSSEC, la riduzione dei canali in chiaro, la rimozione di Telnet e l’adozione di ciphers robusti creano barriere preventive, mentre CoPP assicura policing sul control-plane. L’orientamento è threat-informed, con IOA e IOC messi in relazione a tattiche MITRE ATT&CK per priorizzare le indagini.

Mitigazione: hardening del piano di gestione e patching urgente

Le strategie di mitigazione ruotano attorno a patching prioritario delle CVE sfruttate, change management con focus su diff log, disabilitazione delle uscite dai segmenti management e rotazione delle credenziali. L’impiego di protocolli cifrati per amministrazione, la chiusura delle porte inutilizzate e l’isolamento del piano di gestione limitano la superficie d’attacco. In ambito Cisco, la guida richiama la disabilitazione di Smart Install, il deprovisioning di Guest Shell non necessari e il rafforzamento AAA per contenere i privilegi. La telemetria centralizzata via IPsec o TLS e il syslog informativo abilitano una rilevazione precoce delle deviazioni, mentre SNMPv3 con authPriv e monitoraggio dei SET chiudono i varchi alle manomissioni silenti. L’autenticazione del routing, il controllo delle statiche, il rate-limit dei prefissi BGP e la rimozione delle policy IKE di default con suite crittografiche forti rappresentano una difesa a strati contro esfiltrazione e movimenti laterali.

Cooperazione internazionale: un quadro operativo condiviso

Il valore della CSA risiede nella coerenza operativa fra Stati con infrastrutture eterogenee. Negli Stati Uniti convergono NSA, CISA, FBI e DC3; dall’Australia partecipa ASD/ACSC; dal Canada il Cyber Centre e CSIS; dalla Nuova Zelanda il NCSC-NZ; dal Regno Unito il NCSC-UK; dalla Repubblica Ceca NÚKIB; dalla Finlandia SUPO; dalla Germania BND, BfV e BSI; dall’Italia AISE e AISI; dal Giappone NCO e NPA; dai Paesi Bassi MIVD e AIVD; dalla Polonia SKW e AW; dalla Spagna il CNI. La condivisione di intelligence e di indicatori operativi rafforza la resilienza collettiva contro APT PRC e consente allineamento tattico nelle risposte agli incidenti.

Indicatori di compromissione: pattern ripetibili e anomalie

La guida elenca IOC che favoriscono un rilevamento a basso costo con impatto elevato. Si registrano ACL con nomenclature prevedibili come “access-list 20”, porte SSH non standard riconducibili a pattern tipo 22×22, endpoint HTTP su intervalli 18xxx, file PCAP con nomi “mycap.pcap” e “tac.pcap”, comandi Guest Shell come “guestshell enable”, VRF anomale identificate con “chvrf” o “dohost”, SSH su TCP/57722 con account non root, indirizzi C2 come 166.88.2.90, user-agent Mozilla/IE e script Tcl quali TCLproxy.tcl e map.tcl. L’uso sistematico di questi segnali in caccia guidata consente di anticipare gli avversari e ridurre l’impatto delle loro operazioni. La tecnica Guest Shell su Cisco IOS XE appare centrale nello staging clandestino degli strumenti. L’attivazione tramite “guestshell enable” e l’esecuzione con “run guestshell” offrono una shell isolata ma vicina all’hardware, con possibilità di avviare script python, netcat e tool di rete per esfiltrazione e pivot. Il contesto isolato riduce gli artifact su disco, spostando l’impronta in memoria; per questo la guida suggerisce disabilitazione proattiva dei Guest Shell non necessari, vincoli AAA stringenti, tracciatura dei comandi “guestshell” nei log e segmentazione VRF dedicata al management. L’analisi comportamentale delle invocazioni e dei processi collegati permette di intercettare l’uso malevolo prima della fase di esfiltrazione, elevando la probabilità di contenimento.

Iscriviti a Matrice Digitale

Ricevi le notizie principali direttamente nella tua casella di posta.

Niente spam, disiscriviti quando vuoi.

Potrebbe interessarti anche

Matrice Digitale partecipa al Programma Affiliazione Amazon EU, un programma di affiliazione che consente ai siti di percepire una commissione pubblicitaria pubblicizzando e fornendo link al sito Amazon.it.

La redazione di Matrice Digitale è specializzata in cybersecurity, OSINT, intelligenza artificiale e geopolitica tecnologica. Con inchieste indipendenti e analisi approfondite, raccontiamo come privacy, sorveglianza e innovazione digitale plasmano la società, anticipando i rischi e le sfide ignorate dai media tradizionali.