In un mondo sempre più interconnesso, la sicurezza delle infrastrutture critiche emerge come una preoccupazione crescente. Recentemente, il gruppo di minacce cinese noto come Redfly o Red Echo, una sottosezione del gruppo Winnti, ha lanciato un attacco prolungato contro la rete energetica nazionale di un paese asiatico non specificato. Questo articolo esplora i dettagli dell’attacco, mettendo in luce le implicazioni più ampie per la sicurezza delle infrastrutture critiche a livello globale.
Un’analisi dettagliata dell’intrusione di Redfly
Il gruppo Redfly, noto per le sue operazioni di cyber spionaggio di alto livello, ha compromesso la rete energetica nazionale di un paese asiatico non specificato, utilizzando un Trojan noto come ShadowPad per rubare dati sensibili e ottenere informazioni privilegiate. Questo attacco, che ha avuto luogo nel corso di sei mesi, ha visto l’uso di tecniche sofisticate, tra cui il mascheramento dei file malevoli come programmi VMware e l’uso di keylogger per registrare le battiture.
Il team di Symantec ha tracciato l’inizio della campagna al 28 febbraio, quando il ShadowPad è stato distribuito per la prima volta. Nel corso dei mesi successivi, il gruppo ha mantenuto la persistenza nella rete, effettuando varie attività malevole, tra cui il dumping delle credenziali e la cancellazione dei log degli eventi di sicurezza di Windows.
Implicazioni globali e risposte alla minaccia
Questo attacco segna una tendenza preoccupante nel settore delle infrastrutture critiche, con un aumento della frequenza e della gravità degli attacchi. Mentre gli attacchi russi contro le infrastrutture critiche hanno guadagnato notorietà, le campagne di spionaggio cinese sono altrettanto comuni e potenzialmente dannose.
Dick O’Brien, analista principale dell’intelligence per il team di caccia alle minacce di Symantec, sottolinea che è fondamentale prendere sul serio le avvertenze e adottare misure preventive prima che si verifichino danni significativi. Inoltre, suggerisce che altri paesi potrebbero imparare dalle strategie adottate dagli Stati Uniti per proteggere le loro infrastrutture critiche.
Cosa è ShadowPad?
ShadowPad è un backdoor modulare scoperto per la prima volta otto anni fa, generalmente associato agli attacchi sponsorizzati dallo stato cinese. Questo malware sofisticato è in grado di copiare se stesso sul disco, mascherandosi come file e directory VMware, e ha la capacità di eseguire una serie di attività malevole, tra cui il dumping delle credenziali e l’installazione di ulteriori malware.