Panoramica
Da oltre cinque anni Sophos sta indagando su diversi gruppi con base in Cina che prendono di mira i firewall Sophos, con botnet, nuovi exploit e malware su misura.
Con l’assistenza di altri fornitori di cybersicurezza, governi e forze dell’ordine, siamo stati in grado di attribuire, con diversi livelli di affidabilità, specifici gruppi di attività osservate a Volt Typhoon, APT31 e APT41/Winnti.
Sophos X-Ops ha identificato, con estrema affidabilità, un’attività di ricerca e sviluppo di exploit condotta nella regione del Sichuan. Coerentemente con la legislazione cinese sulla divulgazione delle vulnerabilità, X-Ops ritiene con elevata sicurezza che gli exploit sviluppati siano stati poi condivisi con diversi gruppi di prima linea sponsorizzati dallo Stato, con obiettivi, capacità e strumenti di post-esplorazione differenti.
Nel periodo tracciato, Sophos ha identificato tre comportamenti chiave in evoluzione da parte degli aggressori:
- Uno spostamento dell’attenzione da attacchi indiscriminati e rumorosi diffusi (che X-Ops ha concluso essere tentativi falliti di costruire scatole di collegamento operative [ORB] per favorire futuri attacchi mirati) a operazioni più furtive contro obiettivi specifici di alto valore e infrastrutture critiche, principalmente situati nella regione indo-pacifica. Le organizzazioni vittime includono fornitori e enti regolatori di energia nucleare, forze armate, telecomunicazioni, agenzie di sicurezza statali e governi centrali.
- Si è assistito a un’evoluzione delle capacità di furtività e persistenza. Tra i TTP (Tactics, Techniques and Procedures) recenti degni di nota si annoverano l’aumento dell’uso di living-off-the-land, l’inserimento di classi Java backdoored, Trojan solo in memoria, un rootkit di grandi dimensioni e precedentemente non divulgato (con scelte progettuali e artefatti indicativi di capacità multi-vendor multipiattaforma) e una prima versione sperimentale di un bootkit UEFI. X-Ops ritiene che questo sia il primo caso osservato di utilizzo di bootkit su un firewall.
- I miglioramenti delle misure di sicurezza degli aggressori comprendono il sabotaggio della raccolta di telemetria del firewall, l’impatto sulla capacità di rilevamento e risposta e l’ostacolo alla ricerca OSINT attraverso una ridotta impronta digitale.
Continua a leggere.