Cyber spionaggio cinese in Birmania

cina

Mofang (“imitare” in cinese) è un gruppo di hacker cinesi scoperto nel novembre 2015 dalla società FoxIT, quando questa ha identificato il malware principale del gruppo, chiamato ShimRat. La gang risulta essere attiva dal febbraio 2012, anche se il vero momento di espansione è stato il mese di maggio, quando gli attacchi con ShimRat si sono intensificati, prendendo di mira prima il Ministero del Commercio in Birmania e poi due aziende tedesche del settore automobilistico. Nel corso del 2013 lanciano attacchi oltre oceano prendendo di mira industrie canadesi e un ente governativo degli Stati Uniti, ma anche aziende in India e Singapore. Gli attacchi hanno continuato fino a ieri, la mappa mostra i Paesi maggiormente colpiti dal gruppo. I principali settori target del Mofang sembrano essere quello governativo, miliare, infrastrutture critiche, e industrie d’arma.

Mofang

FoxIT Security Report

Il metodo di attacco di Mofang consiste principalmente nell’inviare email spear-phingin contenenti file Word, Excel o PDF che una volta aperti eseguono il software malevolo sul computer della vittima. Il malware in questione, ShimRat, è un RAT (Remote Administration Tool) che permette agli aggressori di manipolare file e cartelle, caricare e scaricare file ed eseguire programmi e comandi da remoto. L’altro tool utilizzato dal gruppo è ShimRatReporter, uno strumento che gli consente di raccogliere informazioni sulla vittima prima dell’attacco.

Ma ora veniamo alle questioni più prettamente politiche e geopolitiche della faccenda. Il gruppo sopra descritto e le sue azioni non sono “semplici” attacchi di cyber crime ma delle vere e proprie campagne di cyber spionaggio che sembrano portare vantaggio alla Repubblica Popolare Cinese. Dalla mappa in alto si possono scorgere i diversi target del gruppo, sparsi per il mondo più o meno omogeneamente, tuttavia una campagna in particolare sembra fornire indizi sui veri obbiettivi degli attaccanti, nella zona economica speciale di Kyaukpyu in Birmania.

Per comprendere meglio i fatti bisogna fare un passo in dietro, fino al 2009, quando glibirmania investimenti stranieri nel Paese sono cresciuti in modo sostanziale (da un ammontare di circa 300 milioni di dollari nel biennio 2009-2010 ai 20 miliardi nel 2010-2011). Per facilitare gli investimenti il governo birmano ha creato delle zone economiche speciali (ZES). Nel 2011 è stato istituito il Central Body for the Myanmar Spaecial Economic Zones, un apparato regolatore con il compito di sorvegliare gli investimenti stranieri nelle ZES. Nello stesso anno sono state stabilite le tre ZES di Kyaukpyu, Thilawa e Dawei. La Cina è stata molto attiva sin dal 2009 nella ZES di Kyaukpyu con la CNPC (China National Petroleum Corporation) cha ha siglato con il governo birmano un protocollo d’intesa con il quale sperava di costruire un porto e un gasdotto che avrebbe collegato Kyaukpyu con la Cina. Questo gasdotto avrebbe fatto risparmiare alla CNPC circa 5000 chilometri di navigazione ed eliminato la necessità di passare attraverso lo Stretto di Malacca. Tuttavia il protocollo fimrato nel 2009 non era un documento giuridicamente vincolante e ognuna delle due parti avrebbe potuto interrompere l’intesa unilateralmente. È evidente che questa possibilità rappresentava un problema per la Cina, e lo divenne ancora di più quando nel 2013 il governo birmano indisse una gara d’appalto per la gestione della ZES di Kyaukpyu. La gara aveva l’obbiettivo di formare un consorzio che avrebbe supervisionato la ZES e preso decisioni sugli investimenti. A marzo 2013 la CPG Corporation, una società di Singapore si aggiudicò la guida del consorzio. Nel 2014 il governo indisse un’altra gara con l’aiuto della CPG per la gestione delle infrastrutture della ZES, ma dei risultati della gara ancora a luglio 2015 neanche l’ombra, e questo in coincidenza con l’attacco del Mofang group ai sistemi di comunicazione interna della CPG Corporation effettuato con ShimRatReporter (il malware di ricognizione).

Nel 2016 il gruppo cinese CITIC si è aggiudicato la gara per la realizzazione delle infrastrutture nella ZES di Kyaukpyu, iniziando i lavori per il porto e per il gasdotto.

Sviluppo della ZES di Kyaukpyu - FoxIT Report. © 2016 Google Earth

Sviluppo della ZES di Kyaukpyu – FoxIT Report. © 2016 Google Earth

Report FoxIT Security

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

14 − 12 =