All’inizio del 2021, il team di Cybereason Nocturnus ha indagato sui gruppi di intrusione rilevati nel settore delle telecomunicazioni nel sud-est asiatico. Durante l’indagine, sono stati identificati tre gruppi di attività e hanno mostrato connessioni significative con noti attori di minacce, tutti sospettati di operare per conto degli interessi dello stato cinese.
Cybereason Nocturnus ha pubblicato dunque un rapporto sugli aggressori informatici, raggruppati sotto il nome di “DeadRinger”.
Il rapporto arriva sulla scia del rimprovero pubblico dell’amministrazione Biden al Ministero della sicurezza dello Stato cinese, per i recenti attacchi HAFNIUM che hanno sfruttato le vulnerabilità nei server Microsoft Exchange senza patch, e hanno messo a rischio migliaia di organizzazioni in tutto il mondo. Lo sfruttamento di queste stesse vulnerabilità è stato fondamentale per il successo degli attacchi descritti in questa ricerca.
Nel report, i ricercatori affermano che l’attore sta prendendo di mira “asset aziendali di alto profilo come i server di fatturazione che contengono dati Call Detail Record (CDR), nonché componenti di rete chiave come controller di dominio, server Web e server Microsoft Exchange”:
- “Cluster A: si ritiene che sia gestito da Soft Cell, un gruppo di attività operativo dal 2012, che in precedenza attaccava le telecomunicazioni in più regioni tra cui il sud-est asiatico, che è stato scoperto per la prima volta da Cybereason nel 2019. Valutiamo con un alto livello di fiducia che il Soft Il gruppo di attività delle cellule opera nell’interesse della Cina. L’attività attorno a questo cluster è iniziata nel 2018 ed è proseguita fino al primo trimestre del 2021.
- Cluster B: Si ritiene che il gruppo Naikon APT sia gestito dall’attore di minacce Naikon APT, un gruppo di spionaggio informatico molto attivo in funzione dal 2010 che si rivolge principalmente ai paesi dell’ASEAN. Il gruppo Naikon APT è stato precedentemente attribuito alla regione militare di Chengdu dell’Esercito popolare di liberazione cinese (PLA) Second Technical Reconnaissance Bureau (Military Unit Cover Designator 78020) L’attività intorno a questo cluster è stata osservata per la prima volta nel quarto trimestre del 2020 ed è proseguita fino al primo trimestre del 2021.
- Cluster C: un “mini-cluster” caratterizzato da una backdoor OWA univoca che è stata distribuita su più server Microsoft Exchange e IIS. L’analisi della backdoor mostra somiglianze di codice significative con una backdoor precedentemente documentata osservata utilizzata nell’operazione denominata Iron Tiger, che è stato attribuito a un attore di minacce cinese tracciato da vari ricercatori come Group-3390 (APT27 / Emissary Panda). L’attività intorno a questo cluster è stata osservata tra il 2017 e il primo trimestre del 2021.”
È degno di nota ricordare che il Cybereason Nocturnus Team ha anche osservato un’interessante sovrapposizione tra i tre cluster: in alcuni casi, le attività di tutti e tre i cluster sono state osservate nello stesso ambiente di destinazione, nello stesso periodo di tempo e persino sugli stessi endpoint. A questo punto, non ci sono informazioni sufficienti per determinare con certezza la natura di questa sovrapposizione, vale a dire se questi cluster rappresentano il lavoro di tre diversi attori delle minacce che lavorano in modo indipendente o se questi cluster rappresentano il lavoro di tre diversi team che operano per conto di un singolo attore della minaccia.
Ci auguriamo che le informazioni fornite in questo rapporto aiutino a far luce su ulteriori intrusioni correlate e, con il passare del tempo, saranno rese disponibili ulteriori informazioni in merito alla connessione tra i cluster, i sospetti attori della minaccia e la relazione tra loro – affermano i ricercatori.
https://www.zdnet.com/article/deadringer-chinese-apts-strike-major-telecommunications-companies/
https://www.cybereason.com/blog/deadringer-exposing-chinese-threat-actors-targeting-major-telcos