A cura di Marco Rottigni, Senior Product Marketing Manager EMEA di FireEye
Dall’inizio del 2018, FireEye (grazie ai team di FireEye as a Service, Mandiant Consulting e iSIGHT Intelligence) ha seguito ondate di intrusioni rivolte ad entità ingegneristiche e marittime, in particolare quelle connesse alle questioni del Mar Cinese Meridionale. La campagna è collegata ad un gruppo di attori cinesi sospettati di cyber spionaggio che monitoriamo dal 2013, soprannominato TEMP.Periscope.
Il Gruppo è stato inoltre segnalato come “Leviathan” da altre aziende di sicurezza.
La campagna attuale, è una netta escalation dell’attività rilevata a partire dall’estate 2017. Come molti altri attori di cyber spionaggio cinesi, TEMP.Periscope è recentemente tornato in attività conducendo operazioni con un kit di strumenti aggiornato. Gli obiettivi noti di questo Gruppo hanno interessi nell’industria marittima e in realtà che si occupano di ingegneria inclusi istituti di ricerca, organizzazioni accademiche e aziende private negli Stati Uniti. I prodotti di FireEye dispongono di un solido sistema di rilevamento per il malware utilizzato in questa campagna.
Attivo almeno dal 2013, TEMP.Periscope si è concentrato principalmente su obiettivi legati al settore marittimo in più mercati verticali; tra questi aziende ingegneristiche, di spedizioni e trasporto, produzione, difesa, uffici governativi e università di ricerca. Tuttavia, il Gruppo ha anche agito su aziende di servizi professionali/di consulenza, industria high-tech, sanità e media/editoria. Le vittime identificate sono state per lo più negli Stati Uniti, sebbene siano state colpite organizzazioni anche in Europa e almeno una ad Hong Kong. TEMP.Periscope si sovrappone per target, tattiche, tecniche e procedure (TTPs) con TEMP.Jumper.
