Sophos X-Ops ha rivelato i risultati di un’indagine quinquennale che ha identificato diversi gruppi hacker cinesi responsabili di attacchi mirati contro firewall e infrastrutture critiche, concentrati in particolare nella regione indo-pacifica. Nei report intitolati “Pacific Rim”, Sophos ha documentato le operazioni globali di gruppi come Volt Typhoon, APT31 e APT41 che utilizzano botnet, malware avanzati e vulnerabilità zero-day per compromettere la sicurezza di dispositivi di rete e raccogliere informazioni sensibili in tutto il mondo.
Con il supporto di aziende di cybersecurity, governi e forze dell’ordine, Sophos ha tracciato gli attacchi fino alla regione del Sichuan, dove sarebbero coordinati con il sostegno statale cinese. Gli hacker avrebbero preso di mira non solo aziende tecnologiche internazionali, ma anche fornitori e istituzioni critiche, tra cui il settore nucleare, militare e governativo. Le tecniche utilizzate includono rootkit multi-vendor, bootkit UEFI sperimentali e malware che eludono i sistemi di rilevamento sfruttando vulnerabilità nei dispositivi di rete di aziende come Cisco, D-Link, Fortinet, Juniper e Sophos stessa.
Gli hacker cinesi hanno utilizzato TTP avanzati come:
- Living-off-the-land (strumenti già presenti nei sistemi)
- Malware in memoria che evita l’archiviazione su disco
- Interruzione della telemetria dei firewall, rendendo difficile il rilevamento.
Sophos ha individuato il primo attacco nel 2018 contro una sua sede in India, dove un trojan di accesso remoto (RAT) è stato trovato su un computer aziendale. Dal 2020, sono stati rilevati attacchi frequenti contro dispositivi di rete esposti pubblicamente, con hacker capaci di infiltrarsi nei sistemi interni aziendali attraverso exploit sconosciuti.
Nel periodo tra il 2020 e il 2022, gli aggressori hanno intensificato le campagne contro dispositivi di rete pubblicamente accessibili, sfruttando vulnerabilità sconosciute per colpire i servizi WAN. Questi attacchi hanno permesso di recuperare dati dai dispositivi, di inserire payload nei firmware e, in alcuni casi, di compromettere anche la LAN interna delle reti aziendali.
A metà 2022, gli attacchi sono diventati più mirati, colpendo enti governativi, infrastrutture critiche, sanità e finanza con tattiche sofisticate e meno automatizzate.
Appena scoperti questi attacchi, Sophos ha reso pubblici i dettagli di queste minacce in report pubblici, seminari e conferenze e ha allertato le organizzazioni con dispositivi vulnerabili nelle proprie reti. Sophos continuerà a monitorare e divulgare questi attacchi per migliorare la sicurezza delle reti globali, collaborando con le autorità per indagini in corso.