India, Brasile, Kazakistan, Russia, Thailandia e Turchia. Sono i sei paesi oggetto degli attacchi perpetrati da Calypso, gruppo APT (Advanced Persistent Threat) attivo fin dal 2016 e ritenuto potenzialmente vicino al governo cinese. Le azioni sono state dettagliate in un report pubblicato oggi dai ricercatori del team Positive Technologies.
Calypso, l’APT cinese all’attacco dei governi
Il modus operandi è descritto con un iniziale tentativo di compromissione dei sistemi posti a tutela dell’infrastruttura informatica, per poi passare all’impiego di codice maligno in modo da ottenerne l’accesso. Una volta penetrati i cracker possono eseguire codice da remoto anche facendo leva sulle credenziali di autenticazione sottratte e infine allungare le mani su dati e informazioni riservate o confidenziali. Tutto questo sfruttando tool e software facilmente reperibili in Rete da chiunque. Riportiamo di seguito in forma tradotta il commento di Denis Kuvshinov, Lead Specialist della squadra Threat Analysis di Positive Technologies.
Questi attacchi hanno avuto successo in gran parte perché le utility impiegate dal gruppo per muoversi all’interno delle reti sono le stesse usate dagli specialisti un po’ ovunque per l’amministrazione dei network. Il gruppo ha sfruttato tool ed exploit accessibili pubblicamente come SysInternals, Mimikatz, EternalBlue e EternalRomance.
Il collegamento tra Calypso e la Cina è stato effettuato da Positive Technologies per via di uno dei metodi impiegati, il malware PlugX già più volte associato ad altri gruppi operativi nel paese. Inoltre, analizzando le azioni sono stati rinvenuti diversi IP collegati a provider attivi nel territorio. Impiegato anche il trojan Byeby identificato nella campagna SongXY risalente al 2017.