Security Operations

Pacific Rim: all’interno della controffensiva, i TTP utilizzati per neutralizzare le minacce basate in Cina

Sophos X-Ops svela un'indagine quinquennale per individuare i gruppi basati in Cina che prendono di mira i dispositivi perimetrali
Written by ,
Novembre 04, 2024
Security Operations Chinese APT Chinese spying featured Pacific Rim Story Sophos Firewall state-sponsored attackers

Panoramica

Da oltre cinque anni Sophos sta indagando su diversi gruppi con base in Cina che prendono di mira i firewall Sophos, con botnet, nuovi exploit e malware su misura.

Con l’assistenza di altri fornitori di cybersicurezza, governi e forze dell’ordine, siamo stati in grado di attribuire, con diversi livelli di affidabilità, specifici gruppi di attività osservate a Volt Typhoon, APT31 e APT41/Winnti.

Sophos X-Ops ha identificato, con estrema affidabilità, un’attività di ricerca e sviluppo di exploit condotta nella regione del Sichuan.  Coerentemente con la legislazione cinese sulla divulgazione delle vulnerabilità, X-Ops ritiene con elevata sicurezza che gli exploit sviluppati siano stati poi condivisi con diversi gruppi di prima linea sponsorizzati dallo Stato, con obiettivi, capacità e strumenti di post-esplorazione differenti.

Nel periodo tracciato, Sophos ha identificato tre comportamenti chiave in evoluzione da parte degli aggressori:

  • Uno spostamento dell’attenzione da attacchi indiscriminati e rumorosi diffusi (che X-Ops ha concluso essere tentativi falliti di costruire scatole di collegamento operative [ORB] per favorire futuri attacchi mirati) a operazioni più furtive contro obiettivi specifici di alto valore e infrastrutture critiche, principalmente situati nella regione indo-pacifica. Le organizzazioni vittime includono fornitori e enti regolatori di energia nucleare, forze armate, telecomunicazioni, agenzie di sicurezza statali e governi centrali.
  • Si è assistito a un’evoluzione delle capacità di furtività e persistenza. Tra i TTP (Tactics, Techniques and Procedures) recenti degni di nota si annoverano l’aumento dell’uso di living-off-the-land, l’inserimento di classi Java backdoored, Trojan solo in memoria, un rootkit di grandi dimensioni e precedentemente non divulgato (con scelte progettuali e artefatti indicativi di capacità multi-vendor multipiattaforma) e una prima versione sperimentale di un bootkit UEFI. X-Ops ritiene che questo sia il primo caso osservato di utilizzo di bootkit su un firewall.
  • I miglioramenti delle misure di sicurezza degli aggressori comprendono il sabotaggio della raccolta di telemetria del firewall, l’impatto sulla capacità di rilevamento e risposta e l’ostacolo alla ricerca OSINT attraverso una ridotta impronta digitale.

Continua a leggere.

 

Sophos X-Ops logo
About the Author

About the Author

Ross McKerchar is the CISO of Sophos. Ross has a BSc in Computer Science from Edinburgh University and joined Sophos in 2007. During his 17 years at Sophos, Ross established and built Sophos’ cybersecurity program through periods of high company growth, including multiple acquisitions and an IPO on the LSE.

At Sophos, the CISO team runs all aspect of Sophos' own security including Security Architecture, Trust and Compliance, Product Security, Red Teaming and Security Operations. Sitting in the Sophos technology group alongside Sophos Labs and our customer-facing MDR team, we are part of Sophos X-Ops joint task force.

Out of work Ross has a passion for the outdoors and, when he’s not spending time with his young family, loves to travel around the world rock climbing, trail running or surfing.

Read Similar Articles