I ricercatori di Palo Alto Networks assieme alla National Security Agency hanno scoperto un attacco informatico, sostenuto e su vasta scala, ai danni di aziende in comparti strategici. Gli hacker trafugavano proprietà intellettuale e monitoravano le email. Ecco perché la pista porta a Pechino
Un gruppo di hacker stranieri, probabilmente collegato allo Stato cinese, è penetrato in almeno nove organizzazioni commerciali attive in settori strategici – difesa, energia, sanità, tecnologia e istruzione – negli Usa e altrove. È quanto rilevato in un rapporto dell’agenzia di cibersicurezza statunitense Palo Alto Networks a cui ha partecipato anche il governo americano attraverso la National Security Agency (Nsa).
Si tratta dell’ultimo faro acceso sull’ondata di ciberattacchi ai danni delle aziende strategiche statunitensi e non. Tuttavia questo gruppo di cibercriminali sembra meno interessato a ottenere denaro mediante ricatto e più dedito a esfiltrare informazioni cruciali (tra cui i documenti degli appaltatori del settore difesa) rimanendo nell’ombra.
La Nsa e la Cybersecurity and Infrastructure Security Agency (Cisa) hanno lanciato l’allarme a settembre ed esortato le aziende a tappare le falle nella sicurezza. Nel giro di pochi giorni gli hacker monitorati da Palo Alto hanno iniziato ad attaccare diverse centinaia di server. Le agenzie governative non si sono espresse ufficialmente sull’identità degli hacker, mentre i ricercatori di Palo Alto sospettano che dietro ci sia lo zampino di Pechino.
La serie di attacchi è stata condotta attraverso una vulnerabilità in un programma di gestione password e accessi, Zoho. I criminali la sfruttavano per caricare due componenti in grado di “muoversi” lateralmente nella rete infetta, scaricare i dati (messaggi, documenti e quant’altro) e ottenere le credenziali per monitorare le caselle email. E proprio quei due componenti hanno messo i ricercatori sulla pista cinese.
“[Entrambi] sono stati sviluppati con istruzioni cinesi e sono disponibili pubblicamente per il download su GitHub. Riteniamo che gli attori delle minacce abbiano implementato questi strumenti in combinazione come una forma di ridondanza per mantenere l’accesso alle reti di alto interesse”, spiega il rapporto, tratteggiando un meccanismo capace di passare inosservato ai sistemi di sorveglianza fino al momento dell’attivazione.
I ricercatori di Palo Alto hanno evidenziato che gli attacchi erano in larga parte indiscriminati e su scala vastissima, cosa che fa supporre un’operazione di spionaggio supportata da un attore statale. Per loro il modus operandi è in linea con quello di un gruppo noto come Emissary Panda o APT 27, che secondo gli analisti canadesi di SecureWorks è sponsorizzato dal Partito Comunista Cinese. Il gruppo è attivo da almeno dieci anni e ha precedenti nel dare l’assalto ai settori di aerospazio, difesa, governo, tecnologia e manifattura.
Un dirigente di Palo Alto, Ryan Olson, sospetta che le nove aziende già identificate siano solo la punta dell’iceberg. Qualsiasi compagnia che lavora con i governi può avere tra le mani informazioni di interesse per delle spie straniere. “Nel loro insieme, l’accesso a tali informazioni può essere davvero prezioso”, ha detto Olson alla CNN. “Anche se non si tratta di informazioni riservate, anche se si tratta solo di informazioni su come sta andando l’azienda”.
Questo genere di attività non è una novità. Ad aprile si è scoperto che agenzie governative, aziende strategiche nel settore difesa e istituzioni finanziarie in Usa e Ue sono state sorvegliate per mesi da hacker cinesi. Il copione è quasi identico: gli aggressori hanno sfruttato una vulnerabilità di un sistema di gestione degli accessi per infettare un numero imprecisato di aziende e rubare proprietà intellettuale.