Andare a caccia di spie: il report “Pacific Rim” riporta le attività di difesa e controffensiva di Sophos contro una rete di cybercriminali con base in Cina. Gli autori degli attacchi si sono avvalsi di una serie di campagne basate su exploit inediti e malware personalizzato. Così da distribuire tool con cui effettuare azioni di sorveglianza, sabotaggio e cyberspionaggio. Sfruttando anche una serie di TTP (tattiche, tool e procedure) sovrapposte a quelle di noti gruppi statali cinesi come Volt Typhoon, APT31 e APT41.
Quali sono gli obiettivi
Gli obiettivi di tali campagne sono state infrastrutture critiche ed entità governative di piccole e grandi dimensioni dislocate principalmente nella parte meridionale e nel Sud-Est dell’Asia. Poi operatori di energia nucleare, l’aeroporto di una capitale nazionale, un ospedale militare, apparati di sicurezza statali e ministeri centrali. Nel corso dell’operazione Pacific Rim, Sophos X-Ops, l’unità di Sophos specializzata nella cybersicurezza e nella threat intelligence, si è attivata per neutralizzare le mosse di questi avversari. Facendo continuamente evolvere le misure di difesa e controffensiva. Dopo che Sophos ha risposto con successo agli attacchi iniziali, gli avversari hanno reagito coinvolgendo risorse maggiormente esperte.
Andare a caccia di spie
Dopo aver pubblicato nel 2020 i dettagli relativi alle campagne associate all’operazione, come Cloud Snooper e Asnarök, Sophos ha condiviso un’analisi complessiva per promuovere la consapevolezza della persistenza degli attori statali cinesi. Inoltre della loro determinazione a compromettere dispositivi perimetrali privi di patch. Giunti al termine della loro vita utile, spesso sfruttando exploit zero-day appositamente creati. Sophos invita tutti ad applicare urgentemente le patch disponibili per neutralizzare le vulnerabilità rilevate in qualunque dispositivo collegato a Internet. Inoltre migrare i dispositivi non più supportati sostituendoli con modelli attuali. Sophos aggiorna regolarmente i propri prodotti supportati in base a nuove minacce e indicatori di compromissione (IoC) per proteggere la clientela.
I bersagli più in vista
Ross McKerchar, CISO di Sophos
La realtà è che i dispositivi installati all’edge sono diventati bersagli altamente attraenti per i gruppi statali cinesi come Volt Typhoon e altri. Tutti impegnati a creare i cosiddetti ORB (Operational Relay Box) allo scopo di offuscare e sostenere le loro attività. Per esempio colpendo direttamente un obiettivo per spiarlo o sfruttandone indirettamente eventuali punti deboli per sferrare attacchi successivi. Viene colpito anche chi non è considerato un obiettivo.
I dispositivi di rete progettati per le aziende sono bersagli naturali di queste attività, dal momento che sono sistemi potenti, sempre attivi e costantemente connessi. Quando un gruppo che cerca di formare una rete globale di ORB colpisce i nostri dispositivi, noi rispondiamo applicando le stesse tecniche di rilevamento e risposta che utilizziamo per difendere i nostri endpoint e dispositivi di rete corporate. In questo modo abbiamo neutralizzato diverse campagne e ottenuto un prezioso patrimonio informativo di threat intelligence. Che abbiamo successivamente applicato per proteggere i nostri clienti dagli attacchi, sia quelli generici e indiscriminati che quelli più strettamente mirati.
Punti salienti
Il 4 dicembre 2018, un computer con bassi privilegi d’accesso collegato a un display ha avviato una scansione della rete Sophos – apparentemente per conto proprio – dalla sede indiana di Cyberoam. Su quel computer, che conteneva un nuovo tipo di backdoor e un rootkit complesso denominato “Cloud Snooper”, Sophos ha scoperto la presenza di un payload. Esso si poneva silenziosamente all’ascolto di un particolare tipo di traffico Internet in ingresso.
Le origini di Asnarök
Nell’aprile 2020, dopo che diverse aziende avevano segnalato un’interfaccia utente che puntava a un dominio contenente la parola “Sophos” nel proprio nome, l’azienda ha collaborato con le autorità europee per rintracciare e confiscare il server usato per distribuire payload malevoli nella campagna che Sophos ha ribattezzato Asnarök. Sophos ha neutralizzato Asnarök, le cui origini sono state attribuite alla Cina, acquisendo il canale di comando e controllo (C2) del malware. L’iniziativa ha permesso a Sophos di bloccare anche un’ondata di attacchi botnet che era stata pianificata per un momento successivo.
Andare a caccia di spie: difesa e controffensiva di Sophos
Dopo Asnarök, Sophos ha potenziato le proprie operazioni di intelligence varando un ulteriore programma di tracking degli autori degli attacch. Esso èi basato sull’identificazione e neutralizzazione degli avversari intenzionati a colpire i dispositivi Sophos installati negli ambienti della clientela. Il programma è realizzato con una combinazione di intelligence open source, funzioni di web analytics, monitoraggio della telemetria e codice kernel mirato impiantato nei dispositivi presi di mira dagli autori degli attacchi.
Gli autori dell’attacco
Gli autori degli attacchi hanno dimostrato un crescente livello di persistenza adeguando le loro tattiche e ricorrendo a malware sempre più furtivo. Tuttavia, grazie al proprio programma di tracking degli autori degli attacchi e a ulteriori capacità di raccolta di dati telemetrici, Sophos ha neutralizzato diversi attacchi. Pochi mesi dopo ha fatto risalire alcuni attacchi a un avversario che aveva dimostrato di avere collegamenti con la Cina. Oltre che con il Double Helix Research Institute della Sichuan Silence Information Technology nella regione cinese del Chengdu.
Vulnerabilità RCE (Remote Code Execution)
Nel marzo del 2022 un ricercatore anonimo aveva segnalato a Sophos una vulnerabilità RCE (Remote Code Execution) zero-day, designata CVE-2022-1040, nel quadro del programma di bug bounty della società. Ulteriori analisi hanno rivelato che questa CVE era già utilizzata sul campo da diverse campagne di attacchi. Dopo vari approfondimenti, Sophos ritiene che la persona che aveva segnalato l’exploit potrebbe aver avuto dei collegamenti con gli avversari. Si è trattato della seconda volta che Sophos ha ricevuto una segnalazione con un tempismo sospetto prima che un exploit venisse utilizzato nella pratica.
Qualche consiglio utile per andare a caccia di spie
Tutti dovrebbero ricordarsi che i dispositivi connessi a Internet sono i primi bersagli per i gruppi statali. In particolare quando tali dispositivi si trovano installati in un’infrastruttura critica. Sophos invita a intraprendere i seguenti passaggi per rafforzare la postura di sicurezza:
Minimizzare i servizi e i dispositivi connessi a Internet quando possibile
Prioritizzare urgentemente il patching dei dispositivi connessi a Internet e tenerli monitorati
Abilitare il ricevimento e l’applicazione automatica di hotfix sui dispositivi presenti all’edge di rete
Collaborare con forze dell’ordine, partner pubblici-privati e organismi governativi per condividere e gestire gli IoC
Creare un piano d’azione dedicato ai dispositivi alla fine della loro vita utile presenti nella propria organizzazione
Con l’aiuto di tutti
Ross McKerchar, CISO di Sophos
Abbiamo bisogno di collaborazione tra il settore pubblico e quello privato, le forze dell’ordine, gli enti governativi e l’industria della sicurezza. Così da condividere quel che sappiamo a proposito di operazioni come queste. Colpire i dispositivi edge posti a protezione delle reti è una tattica astuta. Aziende, partner di canale e MSP (Managed Service Provider) devono capire che questi dispositivi rappresentano bersagli primari per gli autori degli attacchi.
Dovrebbero quindi accertarsi di proteggerli adeguatamente applicando le patch necessarie appena vengono rilasciate. Sappiamo infatti che gli autori degli attacchi ricercano attivamente i dispositivi arrivati a fine della loro vita utile. Anche i vendor giocano un ruolo importante. Essi devono infatti aiutare i clienti supportando hotfix affidabili e collaudate, semplificando il passaggio dalle piattaforme obsolete, rifattorizzando o rimuovendo sistematicamente il codice legacy che può contenere vulnerabilità latenti. Migliorando continuamente i progetti secure by default così da togliere la necessità di rafforzare la protezione dalle spalle dei clienti, e monitorando l’integrità dei dispositivi installati.
