ESET pubblica l'ultimo report sulle attività dei gruppi APT allineati a Cina e Russia contro UE e Ucraina

ESET ha pubblicato l’ultimo Report sulle attività dei gruppi APT (Advanced Persistent Threat) presi in analisi dai ricercatori tra aprile e settembre di quest’anno. La compagnia continua ad analizzare tutte le attività riconducibili alla sfera della cybersicurezza nell'ambito del conflitto tra Russia e Ucraina mentre nuove campagne dei gruppi filo-cinesi sono state riscontrate in Unione Europea.

Cosa vuol dire APT (Advanced Persistent Threat)?

Con APT si intende una classe di minacce informatiche altamente sofisticate e mirate. Le APT sono spesso associate a attacchi informatici condotti da gruppi o entità altamente competenti e determinate, come governi stranieri, organizzazioni criminali avanzate o hacker molto abili. Queste minacce sono "persistenti" nel senso che sono in grado di rimanere nascoste e attive all'interno di una rete o di un sistema per lunghi periodi di tempo, spesso senza essere rilevate.

In particolare, ESET Research ha osservato diversi gruppi APT che sfruttano vulnerabilità note per esfiltrare dati da enti governativi o organizzazioni correlate. Il report analizza le campagne persistenti dei gruppi allineati alla Cina nell'Unione Europea e l'evoluzione della cyber-war della Russia in Ucraina che dal sabotaggio si spinge verso lo spionaggio.

L'azienda con sede a Bratislava, che in questi giorni tiene una serie di conferenze sullo stato dell'arte della sicurezza e delle minacce informatiche organizzata ad Atene con il nome di TECH4GOOD, ha analizzato come sono state sfruttate le vulnerabilità di WinRAR dei server Microsoft Exchange e IIS, mentre ha scoperto nuovi gruppi vicini alla Cina. Quello che riguarda le APT è solamente uno dei tanti argomenti che ESET sta affrontando in occasione di TECH4GOOD, evento a cui la redazione di Hardware Upgrade sta partecipando e sul quale pubblicheremo ulteriori approfondimenti nei prossimi giorni.

Sednit e Sandworm, filo-russi, Konni, allineato alla Corea del Nord, e Winter Vivern e SturgeonPhisher, geograficamente non attribuibili, hanno colto l'opportunità di sfruttare le vulnerabilità di WinRAR (Sednit, SturgeonPhisher e Konni), Roundcube (Sednit e Winter Vivern), Zimbra (Winter Vivern) e Outlook per Windows (Sednit) per colpire varie organizzazioni governative, non solo in Ucraina ma anche in Europa e in Asia centrale.

Secondo i report di ESET, gli attacchi contro le istituzioni e il settore energetico in Ucraina erano molto diluiti prima dell'inizio del conflitto risalente a febbraio 2022, mentre intensa attività è stata riscontrata subito dopo. HermeticWiper e HermeticRansom, nello specifico, sono due tool entrati in azione il 23 febbraio 2022 poche ore dopo l'inizio delle azioni militari, mentre AcidRain e IsaacWiper risalgono al giorno dopo e CaddyWiper è stato scoperto il 14 marzo. L'8 aprile, invece, si è verificato uno dei più significativi attacchi tra quelli riconducibili al conflitto con lo strumento identificato con il nome di ArguePatch.

Un'altra campagna wiper è partita a ottobre 2022 (NikoWiper) e ha colpito il settore energetico, mentre il ransomware conosciuto con il nome di Prestige ha colpito più di 100 sistemi e compagnie che si occupano di logistica, non solo in Ucraina ma anche in Polonia. Nel 2023 Sandworm, che è uno dei gruppi APT più attivi, ha adottato una tattica più semplificata contro attività legate allo stato della Georgia.

Ciascuno di questi gruppi, inoltre, differisce per modus operandi e per il tipo di tool adottato, oltre che per i bersagli. La cybergang russa Gamaredon, ad esempio, è un grosso problema per l'Ucraina, associabile all'FSB, Servizio federale per la sicurezza della Federazione Russa. Secondo gli studi di ESET, manca in sofisticazione ma compensa in volume di attacchi, ed è la prima arma di spionaggio contro i target governativi dell'Ucraina. La sua attività risulta in incremento dal 2014 (anno in cui sono effettivamente iniziate le ostilità tra Russia e Ucraina) e corrisponde a un aumento delle attività dell'FSB. InvisiMole è invece attribuito a SVR (Servizio informazioni estero), mentre Sednit, il più longevo di questi gruppi, al GRU (Direzione generale per le informazioni militari).

Meno attacchi wiper sono stati riscontrati nel 2023 rispetto al 2022 ma il cyberspionaggio continua e acquisisce priorità nelle strategie di attacco militari. L'Ucraina è il principale bersaglio dei gruppi APT russi ma anche altre nazioni UE/NATO rappresentano dei bersagli, mentre anche la Bielorussia, come recentemente rivelato, ha le sue capacità.

È interessante notare che mentre altri gruppi - come Gamaredon, GREF e SturgeonPhisher - hanno come obiettivo gli utenti di Telegram per cercare di esfiltrare informazioni, o almeno alcuni metadati relativi a Telegram, Sandworm utilizza attivamente questo servizio al fine di pubblicizzare le proprie operazioni di cybersabotaggio. Gamaredon, inoltre, ha migliorato in modo significativo le proprie capacità di raccolta dati, rielaborando gli strumenti esistenti e implementandone di nuovi.

Per quanto riguarda gli attori delle minacce affiliati alla Cina, GALLIUM ha probabilmente sfruttato le vulnerabilità dei server Microsoft Exchange o IIS, estendendo il proprio obiettivo dagli operatori di telecomunicazioni a organizzazioni governative di tutto il mondo. MirrorFace ha probabilmente approfittato di falle del servizio di archiviazione online Proself e TA410 si presume abbia sfruttato le vulnerabilità del server applicativo Adobe ColdFusion.

I gruppi allineati all'Iran e al Medio Oriente hanno continuato a operare a pieno ritmo, concentrandosi principalmente sullo spionaggio e sul furto di dati da organizzazioni presenti in Israele. In particolare, MuddyWater, affiliato all'Iran, ha preso di mira anche un bersaglio di cui non si conosce l’identità in Arabia Saudita, distribuendo un payload che fa pensare alla possibilità che l’autore dell’attacco serva come team di sviluppo per un gruppo più avanzato.

I gruppi allineati alla Corea del Nord hanno continuato a concentrarsi sul Giappone, sulla Corea del Sud e sulle organizzazioni presenti nel Paese, utilizzando e-mail di spear phishing accuratamente realizzate. Lo schema Lazarus più attivo osservato è rappresentato dall'Operazione DreamJob, che ha attirato gli obiettivi con false offerte di lavoro per posizioni remunerative. Questo gruppo ha dimostrato di essere in grado di creare malware per tutte le principali piattaforme desktop.

Infine, i ricercatori di ESET hanno scoperto le attività di tre gruppi precedentemente non identificati allineati alla Cina: DigitalRecyclers, che ha ripetutamente compromesso un'organizzazione governativa nell'UE; TheWizards, che ha condotto attacchi adversary-in-the-middle e PerplexedGoblin, che ha preso di mira un'altra organizzazione governativa nell'UE. Per ulteriori informazioni tecniche, consultare la versione integrale dell’ESET APT Activity Report su WeLiveSecurity.

Le APT di solito cercano di ottenere accesso non autorizzato a informazioni sensibili, come dati governativi, segreti commerciali o informazioni personali. Per raggiungere i loro obiettivi, spesso utilizzano una serie di tecniche sofisticate, tra cui il phishing mirato, l'ingegneria sociale, l'uso di malware personalizzato e molto altro.

Le organizzazioni devono prendere misure di sicurezza avanzate per proteggersi dalle APT, che possono essere molto difficili da rilevare e contrastare. Ciò include l'implementazione di politiche di sicurezza robuste, l'addestramento del personale e l'uso di soluzioni di sicurezza avanzate per rilevare e rispondere alle minacce informatiche. Vale la pena poi sottolineare che le attività riscontrate da ESET sono quelle legate ai gruppi che tiene sotto controllo, mentre molte più attività di tipo APT si verificano periodicamente in tutto il mondo.