Sommario
Sophos e Microsoft, due delle principali aziende globali nella cybersecurity, hanno recentemente svelato dettagli inquietanti su sofisticati attacchi da parte di gruppi APT dalla Cina. In entrambi i casi, le aziende hanno rilevato minacce che sfruttano dispositivi di rete compromessi per infiltrarsi nelle reti aziendali, monitorare il traffico di rete e rubare dati sensibili. Le tattiche avanzate adottate dalle APT, compresi malware personalizzati e botnet complesse, dimostrano l’evoluzione delle minacce a livello globale.
La battaglia di Sophos contro le APT cinesi
Negli ultimi cinque anni, Sophos ha registrato attacchi mirati a dispositivi di rete fabbricati da aziende come Fortinet, Barracuda, Check Point, Cisco e NetGear. Gli attacchi, attribuiti a gruppi cinesi come Volt Typhoon, APT31 e APT41/Winnti, sfruttano vulnerabilità nei dispositivi per impiantare malware e monitorare il traffico. La strategia principale consiste nel creare backdoor sui dispositivi per ottenere accesso costante alle reti. Sophos ha iniziato a identificare i primi segnali nel 2018, quando la sua filiale Cyberoam in India è stata colpita. Da allora, gli hacker hanno incrementato l’uso di exploit zero-day, alcune delle quali si sospetta siano state sviluppate e condivise tra ricercatori cinesi, aziende e persino agenzie statali.
Sophos ha utilizzato una varietà di contromisure per monitorare l’attività delle APT, anche attraverso l’installazione di impianti sui dispositivi compromessi per raccogliere dati in tempo reale. Ciò ha permesso di scoprire metodi sofisticati come l’uso di malware basato solo sulla memoria e tecniche di persistenza avanzata, che trasformano i dispositivi di rete compromessi in proxy per mascherare attività malevole. La ricerca continua di Sophos, denominata “Pacific Rim,” rappresenta un’importante risorsa per la difesa contro le minacce avanzate sponsorizzate dagli stati.
Quad7 botnet di Microsoft: nuova minaccia per i SOHO
Microsoft, in collaborazione con Team Cymru e Sekoia, ha recentemente rilevato una botnet denominata Quad7 (o CovertNetwork-1658), operata da hacker cinesi e composta da router compromessi, utilizzati per attacchi di tipo “password spray.” In questa tattica, gli hacker tentano di accedere a numerosi account attraverso poche combinazioni di password. Quad7 si avvale di router compromessi di marchi come TP-Link, ASUS, Ruckus e Zyxel, che fungono da proxy per rendere le attività degli hacker meno identificabili. Gli attacchi risultano non aggressivi, con poche tentativi per account, proprio per evitare che i sistemi di difesa rilevino un comportamento sospetto.
Gli hacker, una volta ottenute le credenziali, si infiltrano nelle reti aziendali rubando ulteriori credenziali e installando strumenti di persistenza. Nonostante il sistema di Quad7 sia attivo da tempo, le modalità specifiche di compromissione dei router SOHO rimangono sconosciute. Sekoia ha osservato che gli hacker hanno utilizzato una vulnerabilità zero-day su un dispositivo OpenWRT, il che evidenzia la sofisticazione e il livello di risorse tecniche a disposizione di questi gruppi.
Impegno nella Cybersecurity costante
I casi di Sophos e Microsoft evidenziano come la sicurezza dei dispositivi di rete sia sempre più cruciale nella difesa contro le minacce statali e quelle della Cina sono sempre dietro l’angolo. Gli utenti e le aziende devono assicurarsi che i propri dispositivi siano aggiornati e protetti per evitare di essere sfruttati in operazioni di spionaggio informatico.
