Cyberattacchi cinesi alle ambasciate indiane. Ben venga il caos, perché l’ordine non ha funzionato

china2

Nel 2014 FireEye, società che si occupa di sicurezza informatica a livello mondiale, aveva pubblicato un Report sull’Operazione Ke3chang, una campagna di spionaggio informatico che mirava ai ministeri degli affari esteri europei fornendo false informazioni sulla crisi in Siria. Secondo FireEye, che ha battezzato l’operazione “Ke3chang”, questa sembra essere stata messa in piedi da un gruppo che agisce dalla Cina almeno dal 2010, ma che ha cominciato ad operare dall’agosto 2013, poco prima di una riunione del G20 tenutasi in Russia in cui si è discusso della crisi siriana.

Mentre però si credeva che l’operazione fosse terminata, la Unit 42* – la sezione di Threat intelligence di Palo Alto Networks – ha recentemente scoperto che il gruppo di cyber-attaccanti cinesi ha continuato ad evolvere il proprio arsenale informatico, scoprendo una nuova famiglia di malware denominata TidePool, in grado di leggere, scrivere e rimuovere files all’interno del sistema informatico attaccato. Secondo i ricercatori di Palo alto, con questo malware il gruppo ha messo in piedi una campagna che ha preso di mira le ambasciate indiane di tutto il mondo. Nello specifico gli attacchi consistono nell’invio di email che contengono l’allegato infetto (phishing) sottoforma di un Report annuale. Le mail, per acquisire legittimità, sono spedite da indirizzi di persone reali che hanno dei legami con le ambasciate indiane.

L’allegato infetto innesca la vulnerabilità delineata nel CVE-2015-2545(Common Vulnerabilities and Exposures) – resa pubblica nel settembre 2015 – confezionata come un file MHTML con estensioni .doc che viene eseguito con Microsoft Word. La vulnerabilità deriva da un difetto nell’elaborazione dei file Encapsulated PostScript (EPS) e permette a un attaccante di eseguire codice arbitrario. In pratica, sfrutta una falla di Microsoft Office, che però è stata scoperta a settembre scorso, tuttavia è possibile che non tutti i software siano aggiornati, dunque se riuscisse a penetrare nel sistema – attraverso questa falla – il file infetto nell’allegato installerà nel sistema il malware TidePool.

Esempio di documenti esca utilizzati in combinazione con l'exploit - Fonte: PWC

Esempio di documenti esca utilizzati in combinazione con l’exploit – Fonte: PWC

Il collegamento con l’operazione Ke3chang è dovuta però alle caratteristiche di TidePool che è in grado di raccogliere informazioni sul computer della vittima, codificare i dati e inviarli al server di Comando e Controllo (C2) via HTTP, dunque una volta stabilita la connessione si comporta come un RAT**, capacità che corrispondono a quelle della famiglia BS2005, il malware utilizzato nell’operazione Ke3chang. Non solo, i ricercatori della Unit 42, confrontando i codici sorgente di BS2005 e quello del malware che è stato battezzato TidePool, hanno stabilito che quest’ultimo è un’evoluzione del BS2005, dunque l’operazione Ke3chang è ancora in corso.

Comparazione tra BS2005 e Ke3chang. Fonte: researchcenter.paloaltonetworks.com

Comparazione tra BS2005 e Ke3chang. Fonte: researchcenter.paloaltonetworks.com

Sin dal 2013, da quando è apparso il primo report, le autorità cinesi negano ogni coinvolgimento nella vicenda, tuttavia i ricercatori hanno notato nel codice analizzato la codifica 0x04 (LANG_CHINESE), che indica che i sistemi utilizzati dagli aggressori eseguono i software con la lingua cinese come impostazione di default. Certamente sembrerebbe una prova schiacciante, soprattutto perché non in superficie, nascosta, tuttavia non sufficiente per attribuire la responsabilità di un attacco ad uno Stato o ad un governo.

Così emerge ancora una volta una delle maggiori criticità degli equilibri geopolitici che si stanno velocemente spostando nel cyberspazio, quello dell’attribuzione della responsabilità delle azioni condotte nel cyberspazio. Ma le motivazioni dietro queste campagne sono sconosciute almeno quanto i loro esecutori, e non è detto che siano noti neanche tutti i bersagli.

Spesso l’ipercomplessità del cyberspazio lo allontana dall’analisi geopolitica presentandosi nel migliore dei casi come caos puro impossibile da analizzare, in contrapposizione ad un relativo ‘ordine’ nel mondo fisico, che perlomeno risponde, seppur a singhiozzi, ad un sistema di regole. Eppure ci stiamo avviando verso un nuovo mondo e dobbiamo prepararci di conseguenza ad un nuovo modo di intenderlo.


****

 

*Curiosità: Nel film “Guida Galattica per Autostoppisti” di Douglas Adams il numero 42 è la risposta a “La questione fondamentale della vita, l’universo e tutto quanto“. Il CSO di Palo Alto è un grande fan di fantascienza, così per indicare il team di Threat intelligence ha iniziato ad usare il nome Unit 42, che con il tempo è diventato quello ufficiale.

**RAT: Remote Access Trojans (RAT) o Backdoor: questi tipi di trojan sono i più diffusi e che forniscono la maggior varietà di funzioni ma anche i più difficili da implementare. Possono essere usati per aprire porte, per far entrare virus o worm, per consentire attacchi DOS oppure per la creazione di una botnet, una rete di pc zombie usabili per effettuare attacchi o per essere venduti sul mercato nero. (Wikipedia)

***La frase “Ben venga il caos, perché l’ordine non ha funzionato” nel titolo è di Karl Kraus.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

11 − 10 =