Attacchi Informatici Sostenuti da Gruppi di Minaccia Legati alla Cina

Un gruppo di minaccia avanzata persistente, noto come UAT-8302 e collegato alla Cina, ha preso di mira enti governativi in Sud America e nell’Europa sud-orientale. Le attività di questo gruppo sono state monitorate da Cisco Talos e indicano una strategia sofisticata di attacco, che sfrutta malware personalizzato condiviso tra diverse fazioni di hacker legate alla Cina.

Tecniche di Attacco Avanzate

UAT-8302 ha utilizzato una varietà di famiglie di malware, tra cui un accesso remoto basato su .NET denominato NetDraft, conosciuto anche come NosyDoor. Questo malware presenta somiglianze con FINALDRAFT, già associato a diversi gruppi di minaccia, tra cui “Ink Dragon” e “CL-STA-0049”. L’adozione di strumenti di attacco ben noti dimostra un collegamento diretto tra UAT-8302 e altre entità pericolose, suggerendo una rete di hacker che operano in modo sinergico. Le ricerche segnalano che gli attaccanti non si limitano a utilizzare malware personalizzato, ma anche a sfruttare strumenti già in uso da altri gruppi.

Oltre a NetDraft, il gruppo UAT-8302 ha fatto uso di altri strumenti, inclusi CloudSorcerer e VShell. L’utilizzo di queste tecnologie avanzate indica che gli attaccanti sono organizzati e hanno accesso a risorse sofisticate, rendendo le loro operazioni sempre più pericolose per i settori vulnerabili, inclusi quelli governativi e critici.

Strumenti e Metodologie Utilizzate

Nonostante non siano ancora chiare le modalità di accesso iniziale alle reti bersaglio, si sospetta che il gruppo utilizzi procedure consolidate per sfruttare vulnerabilità note, comprese quelle zero-day.Nel momento in cui riescono a penetrare nel sistema, gli attaccanti eseguono un’analisi approfondita delle reti, utilizzando strumenti open-source per estorcere informazioni e spostarsi lateralmente all’interno del sistema attaccato.

Recentemente, è emerso che UAT-8302 ha utilizzato una variante basata su Rust del malware SNOWLIGHT, chiamata SNOWRUST, per scaricare e attivare il payload di VShell. Al di là delle tecniche di malware, il gruppo ha anche configurato modalità alternative di accesso, utilizzando strumenti di proxy e VPN. Questa diversificazione permette agli hacker di garantire una maggiore permanenza all’interno delle reti compromesse, rendendo le contromisure di sicurezza più difficili da implementare.

Implicazioni per le Aziende Italiane

Per le aziende e le istituzioni italiane, la crescente sofisticazione delle minacce legate a gruppi come UAT-8302 rappresenta una sfida significativa. È cruciale che i settori pubblici e privati adottino misure di sicurezza informatica robuste e siano consapevoli della possibilità di attacchi simili nel proprio ambito. L’uso di tecnologie avanzate e malware sofisticati implica che la preparazione e la risposta agli incidenti devono essere costantemente aggiornate per contrastare tali minacce.

In particolare, l’approccio collaborativo di gruppi di hacker legati alla Cina suggerisce che la lotta contro questi attacchi non può essere condotta da un singolo attore, ma richiede uno sforzo collettivo tra le aziende e le istituzioni per garantire una difesa efficace. Le aziende italiane dovrebbero considerare investimenti in soluzioni di sicurezza informatica innovative e programmare esercitazioni regolari di risposta agli incidenti per affrontare potenziali attacchi.

Conclusione

L’incremento delle attività maligne da parte di gruppi come UAT-8302 mette in evidenza la necessità di un approccio proattivo alla sicurezza informatica. Non solo è fondamentale implementare misure immediate di protezione, ma è altrettanto importante promuovere una cultura della sicurezza che sensibilizzi tutti i dipendenti. Le minacce informatiche sono in costante evoluzione, e solo un impegno costante nella formazione e nella preparazione potrà proteggere adeguatamente enti e aziende, anche in Italia.