Oggi, la CISA, insieme alla National Security Agency (NSA), al Federal Bureau of Investigation (FBI) e a partner internazionali, ha rilasciato un avviso congiunto sulla sicurezza cibernetica per evidenziare le recenti attività scoperte condotte da un attore di minacce cyber sponsorizzato dallo Stato della Repubblica Popolare Cinese (PRC).
La strategia degli attori delle minacce cibernetiche
L’avviso evidenzia come gli attori delle minacce cibernetiche della PRC utilizzino tecniche chiamate “living off the land” per evadere il rilevamento. Questi attori sfruttano gli strumenti di amministrazione di rete incorporati per compromettere le reti e condurre attività dannose. Questo permette all’attore cibernetico di integrarsi con le attività di sistema e di rete di routine di Windows, limitando l’attività e i dati catturati nelle configurazioni di registrazione predefinite, e di evitare i prodotti di rilevamento e risposta degli endpoint (EDR) che potrebbero allertare l’introduzione di applicazioni di terze parti sull’host o sulla rete.
L’impatto sulle infrastrutture critiche
I partner del settore privato hanno identificato che questa attività colpisce le reti attraverso i settori dell’infrastruttura critica degli Stati Uniti, e le agenzie che hanno redatto l’avviso ritengono che l’attore potrebbe applicare le stesse tecniche contro questi e altri settori a livello mondiale.
Indicazioni e misure preventive
Le agenzie hanno individuato possibili indicatori associati a queste tecniche. Per cercare questa attività, la CISA e i partner invitano i difensori della rete a utilizzare i comandi dell’attore e le firme di rilevamento fornite in questo avviso. Inoltre, la CISA e i partner incoraggiano i difensori della rete a visualizzare gli indicatori di compromissione (IOC) e i riepiloghi delle misure di mitigazione per rilevare questa attività.