Scoperta di Check Point Research: è partita una campagna di cyber spionaggio contro due istituti di ricerca russi, che appartengono alla Rostec corporation. Infatti negli ultimi due mesi, Check Point Research ha osservato diversi gruppi APT che hanno cercato di sfruttare il conflitto tra Russia e Ucraina come esca per operazioni di spionaggio. Non sorprende che le stesse organizzazioni russe siano diventate un obiettivo interessante per le campagne di spear-phishing che sfruttano le sanzioni imposte alla Russia dai Paesi occidentali. Queste sanzioni hanno esercitato un’enorme pressione sull’economia russa. In particolare sulle organizzazioni di diversi settori industriali russi.
Cyber-spionaggio, gli istituti di difesa statali russi sotto un attacco
L’indagine ha dimostrato che questa campagna fa parte di una più ampia operazione di spionaggio cinese, in corso da diversi mesi, contro organizzazioni legate alla Russia. I ricercatori ritengono che la campagna sia stata condotta da un APT nazionale cinese esperto. Questo report rivela le tattiche e le tecniche utilizzate e fornisce un’analisi tecnica delle fasi e dei payload dannosi osservati. Compresi loader e backdoor precedentemente sconosciuti con molteplici tecniche avanzate di evasione e anti-analisi.
Campagna di spear-phishing
Lo spear-phishing è un attacco phishing molto specifico. Può essere effettuato attraverso una serie di mezzi di comunicazione diversi: e-mail, SMS, social media, ecc. Opera in modo molto simile agli altri attacchi di phishing, ma il processo di creazione del messaggio è leggermente diverso. Il 23 marzo, alcune e-mail dannose hanno preso di mira diversi istituti di ricerca sulla difesa con sede in Russia. Le e-mail, che avevano come oggetto “List of <target institute name> persons under US sanctions for invading Ukraine”. Esse contenevano un link a un sito controllato dall’aggressore che imitava il Ministero della Salute della Russia minzdravros[.]com e un documento dannoso allegato.
Attività provenienti dalla Cina
I ricercatori ritengono che questa campagna sia stata condotta da un hacker cinese APT. In generale, i gruppi cinesi sono noti per riutilizzare e condividere gli strumenti. Inoltre, la campagna Twisted Panda presenta molteplici somiglianze con hacker cinesi di cyber-spionaggio avanzati e di lunga data. Come l’offuscamento dei flussi di controllo osservato in SPINNER che è stato precedentemente utilizzato dal gruppo cinese APT10. Riapparso in una recente campagna nominata Mustang Panda. Tuttavia, non ci sono prove sufficientemente solide, come le connessioni situate nelle infrastrutture, per puntare il dito contro uno specifico gruppo cinese.
Sanzioni e guerra, gli istituti di difesa statali russi e il cyber-spionaggio
Il piano Made in China 2025 definisce gli obiettivi della Cina per diventare una grande potenza tecnologica ed economica. Inoltre identifica anche i settori in cui deve diventare leader mondiale, tra cui la robotica, le attrezzature mediche e l’aviazione. Gli istituti di ricerca sulla difesa che CPR ha identificato come obiettivi di questo attacco appartengono a una holding del conglomerato statale russo della difesa Rostec Corporation. Si tratta della più grande holding russa nel settore della radioelettronica. Gli istituti di ricerca presi di mira si occupano principalmente dello sviluppo e della produzione di sistemi di guerra elettronica e di apparecchiature radioelettroniche militari di bordo.
Quali i settori colpiti
Gli enti di ricerca si occupano anche di sistemi per l’aviazione civile, dello sviluppo di una serie di prodotti civili come le apparecchiature mediche. Oltre che di sistemi di controllo per l’energia, i trasporti e le industrie ingegneristiche. Questa campagna si basa su tecniche di social engineering e in particolare sullo spear-phishing. Lo scopo dell’operazione di spionaggio è probabilmente quello di raccogliere informazioni da obiettivi all’interno dell’industria della difesa russa ad alta tecnologia. Così da sostenere la Cina nel suo progresso tecnologico e nel suo piano a lungo termine.