Asia: hacker cinesi prendono di mira le telecomunicazioni

Da anni tre distinti gruppi hacker cinesi operano per conto dello stato organizzando attacchi informatici per colpire le reti di almeno cinque società di telecomunicazioni del Sud-Est Asiatico.

Martedì la società di sicurezza Cybereason Inc. ha pubblicato un rapporto. L’analisi tecnica afferma che i gruppi hacker hanno condotto una campagna in tutto il sud-est asiatico dal 2017 al 2021 n alcuni casi sfruttando le vulnerabilità della sicurezza nei server Exchange di Microsoft Corp. per ottenere l’accesso ai sistemi interni delle società di telecomunicazioni. Lior Rochberger, Tom Fakterman, Daniel Frank e Assaf Dahan di Cybereason hanno rivelato che l’obiettivo è quello di tenere un monitorgaggio contino per facilitare lo spionaggio informatico:

“L’obiettivo degli aggressori dietro queste intrusioni era quello di ottenere e mantenere l’accesso continuo ai fornitori di telecomunicazioni e facilitare lo spionaggio informatico raccogliendo informazioni sensibili, compromettendo risorse aziendali di alto profilo come i server di fatturazione che contengono dati Call Detail Record (CDR), così come i componenti di rete chiave come i controller di dominio, i server Web e i server Microsoft Exchange”.

Le indagini, iniziate nel 2021- sulla scia del rimprovero pubblico di Biden al Ministero della sicurezza dello Stato cinese per i recenti attacchi HAFNIUM che hanno sfruttato le vulnerabilità nei server Microsoft Exchange senza patch — hanno identificato tre diversi gruppi, tutti sospettati di operare per conto degli interessi dello stato cinese.

“Sulla base della nostra analisi, riteniamo che l’obiettivo degli aggressori dietro queste intrusioni fosse quello di ottenere e mantenere l’accesso continuo ai fornitori di telecomunicazioni e facilitare lo spionaggio informatico raccogliendo informazioni sensibili, compromettendo risorse aziendali di alto profilo come i server di fatturazione che contengono Call Dati del record di dettaglio (CDR), nonché componenti di rete chiave come controller di dominio, server Web e server Microsoft Exchange”. DeadRinger: Exposing Chinese Threat Actors Targeting Major Telcos

I risultati chiave:

— gli aggressori hanno lavorato diligentemente per oscurare la loro attività e mantenere la persistenza sui sistemi infetti, rispondendo dinamicamente ai tentativi di mitigazione dopo aver eluso gli sforzi di sicurezza almeno dal 2017, un’indicazione che gli obiettivi sono di grande valore per gli attaccanti:
— hanno sfruttato le vulnerabilità di Microsoft Exchange, analogamente agli attacchi HAFNIUM, e hanno compromesso le risorse di rete critiche come i controller di dominio (DC) e i sistemi di fatturazione che contengono informazioni altamente sensibili come i dati Call Detail Record (CDR), consentendo loro di accedere alle comunicazioni sensibili di chiunque utilizzi i servizi delle telecomunicazioni interessati.
— si valuta che le telecomunicazioni siano state compromesse al fine di facilitare lo spionaggio contro obiettivi selezionati che questi includono società, personaggi politici, funzionari governativi, forze dell’ordine, attivisti politici e fazioni dissidenti di interesse per il governo cinese.
— i tre distinti gruppi di attacchi hanno vari gradi di connessione con i gruppi APT Soft Cell, Naikon e Group-3390, tutti noti per operare nell’interesse del governo cinese.

Leggi anche: La Cina nega l’hacking dei dati sul fiume Mekong e confuta il rapporto Reuters

--

--

Andrea Biraghi è amministratore delegato Comdata. Esperto in Cyber Security, Security & Information System. Project Manager digitalizzazione e sicurezza IT.

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store