Sommario
Il gruppo di cyber-spionaggio UAT-5918, attivo dal 2023, è stato identificato in una campagna di attacchi mirati contro infrastrutture critiche di Taiwan. Gli esperti di Cisco Talos hanno tracciato questa operazione, confermando che l’obiettivo principale è stabilire accessi a lungo termine nei sistemi compromessi, con attività di furto di informazioni e raccolta di credenziali.
L’analisi delle tecniche impiegate mostra forti somiglianze con gruppi APT noti, tra cui Volt Typhoon, Flax Typhoon, Earth Estries e Dalbit, tutti precedentemente collegati a operazioni di cyber-intelligence sponsorizzate da stati nazionali.
Il metodo d’attacco di UAT-5918: accesso iniziale e movimenti laterali
Le intrusioni di UAT-5918 iniziano con lo sfruttamento di vulnerabilità N-day in server web e applicativi non aggiornati. Una volta ottenuto l’accesso iniziale, il gruppo utilizza strumenti open-source per la ricognizione di rete, permettendo una rapida espansione dell’attacco all’interno dell’infrastruttura violata.
Gli attaccanti eseguono manualmente il post-compromissione, dimostrando un alto livello di sofisticazione e il desiderio di mantenere il controllo dei sistemi per lungo tempo. Le loro operazioni prevedono l’installazione di web shell su più sottodomini e server accessibili da internet, creando backdoor multiple per garantire l’accesso persistente.
Il furto di credenziali gioca un ruolo chiave nella strategia di UAT-5918. Gli attaccanti eseguono il dump dei registri di sistema, del database NTDS e dei file contenenti dati sensibili, utilizzando strumenti come Mimikatz e browser credential extractors. Con queste credenziali, il gruppo si muove lateralmente attraverso RDP, WMIC e Impacket, prendendo il controllo di sistemi critici.
L’infrastruttura dell’attacco e le somiglianze con Volt Typhoon e Flax Typhoon
Cisco Talos ha riscontrato un notevole sovrapposizione tra le tecniche di UAT-5918 e quelle di Volt Typhoon e Flax Typhoon, entrambi gruppi di cyber-spionaggio legati alla Cina.
Le operazioni di UAT-5918 includono strumenti di networking avanzati come FRPC, FScan, In-Swor, Earthworm e Neo-reGeorg, oltre a metodi sofisticati di raccolta informazioni, tra cui scansione delle unità logiche, identificazione dei dispositivi di archiviazione e dumping di credenziali da browser e applicazioni.
Volt Typhoon è già stato attribuito dal governo USA a una campagna di attacchi informatici contro infrastrutture critiche statunitensi, con modalità simili a quelle osservate nel caso UAT-5918. Il gruppo Flax Typhoon, invece, è noto per attaccare organizzazioni a Taiwan utilizzando software legittimo per nascondere le proprie attività, un modus operandi che coincide con quello adottato da UAT-5918.
Le intrusioni di UAT-5918 condividono anche strumenti con altri gruppi APT come Tropic Trooper, Famous Sparrow e Earth Estries, indicando una possibile interconnessione tra queste operazioni di spionaggio.
Target dell’attacco: infrastrutture critiche di Taiwan
Le attività di UAT-5918 si concentrano su settori strategici dell’economia e della sicurezza di Taiwan, tra cui telecomunicazioni, sanità, tecnologia dell’informazione e altri comparti chiave dell’infrastruttura nazionale.
Questa scelta di obiettivi è in linea con le strategie operative di gruppi di cyber-intelligence sostenuti da stati. Il targeting di questi settori suggerisce che UAT-5918 possa agire per conto di un’entità con interessi geopolitici nella regione.
Persistenza e tecniche di evasione: web shell, reverse proxy e credential dumping
Una volta all’interno della rete bersaglio, UAT-5918 impiega web shell avanzate per mantenere l’accesso e aggirare le difese. Queste backdoor sono installate in percorsi poco sospetti, come directory di immagini o cartelle di sistema.
Per nascondere il traffico di rete, gli attaccanti utilizzano reverse proxy e tunnel crittografati, sfruttando strumenti come FRP e Neo-reGeorg. Questo consente loro di controllare i server compromessi da remoto, senza lasciare tracce evidenti nei log di sicurezza.
Gli strumenti di ricognizione di rete come FScan e In-Swor vengono impiegati per individuare porte aperte e vulnerabilità presenti nei sistemi circostanti, consentendo una rapida espansione laterale dell’attacco.
La raccolta di credenziali avviene attraverso dump dei registri di sistema e attacchi ai browser. UAT-5918 esegue script PowerShell per disabilitare Microsoft Defender e impiega strumenti come LaZagne, Mimikatz e NetSpy per estrarre informazioni sensibili dagli endpoint compromessi.
Impatto e scenari futuri: un rischio crescente per la sicurezza di Taiwan
L’operazione UAT-5918 evidenzia una minaccia crescente per la sicurezza nazionale di Taiwan, con attacchi altamente mirati alle infrastrutture strategiche del paese.
Ti è piaciuto questo contenuto? Iscriviti alla nostra newsletter settimanale
Seguici su Google News iscrivendoti al canale
L’utilizzo di strumenti di attacco ampiamente disponibili e l’assenza di malware personalizzato indica che i responsabili stanno adottando un approccio low-profile, per evitare il rilevamento e mantenere il controllo sulle reti compromesse.
L’interconnessione tra UAT-5918 e gruppi APT noti sponsorizzati dalla Cina suggerisce che questi attacchi potrebbero essere parte di un’operazione più ampia di spionaggio informatico. Il focus su Taiwan e sulle sue infrastrutture critiche rafforza l’ipotesi di un coinvolgimento di Pechino, nell’ambito delle tensioni geopolitiche tra Cina e Taiwan.
