Check Point Research (CPR), la divisione Threat Intelligence di Check Point Software Technologies, avverte di una nuova arma di cyber-spionaggio utilizzata da un gruppo di hacker cinese, dopo aver identificato e bloccato un’operazione di sorveglianza in corso rivolta a un governo del sud-est asiatico.
Il gruppo ha sistematicamente inviato documenti pericolosi a più membri del Ministero degli Affari Esteri del governo bersaglio, impersonando altre entità all’interno dello stesso governo.
In tre anni, gli aggressori hanno sviluppato una backdoor precedentemente sconosciuta nel software Windows in esecuzione sui personal computer delle sue vittime, consentendo uno spionaggio live. Dopo che la backdoor è stata installata, gli aggressori possono raccogliere quasi tutte le informazioni che vogliono, così come prendere screenshot ed eseguire ulteriore malware sul computer personale della vittima.
Cyber-spionaggio: gli elementi dell’attacco
La catena di infezione può essere riassunta nei seguenti passi:
- La vittima riceve una e-mail con un documento allegato, presumibilmente inviato da qualche altro Ministero o Commissione del Governo
- Aprendo il documento, la vittima esegue una catena di eventi che alla fine fa attivare la backdoor
- La backdoor raccoglie tutte le informazioni che gli hacker vogliono, compresa la lista dei file e dei programmi attivi sul PC, permettendo l’accesso remoto.
La backdoor precedentemente sconosciuta
Gli hacker hanno sviluppato una nuova backdoor, un tipo di malware che nega le normali procedure di autenticazione per accedere a un sistema. Con il nome interno “VictoryDll_x86.dll”, il modulo backdoor contiene malware personalizzato, tra le altre, con le seguenti capacità:
- Cancellare/Creare/Rinominare/Leggere/Scrivere file e ottenere gli accessi dei file
- Ottenere informazioni su processi e servizi
- Ottenere screenshot
- Eseguire comandi attraverso cmd.exe
- Creare/terminare un processo
- Ottenere tabelle TCP/UDP
- Ottenere informazioni sulle chiavi di registro
- Ottenere i titoli di tutte le finestre di primo livello
- Ottieni informazioni sul computer personale della vittima – nome del computer, nome utente, indirizzo del gateway, dati dell’adattatore, versione di Windows (versione maggiore/minore e numero di build) e tipo di utente
- Spegnere il PC
A chi si può attribuire l’attacco?
CPR attribuisce, con fiducia medio-alta, l’operazione di sorveglianza in corso a un gruppo di minaccia cinese, sulla base dei seguenti fatti:
- I server di comando e controllo (C&C) erano attivi solo tra le 01:00 – 08:00 UTC, quindi la gamma di possibili origini di questo attacco è limitata.
- I server C&C non hanno restituito alcun payload (anche durante l’orario di lavoro), in particolare durante il periodo tra il 1 maggio e il 5 maggio – Labor Day Holiday in Cina.
- Alcune versioni di prova della backdoor contenevano il controllo della connettività internet con www.baidu.com – un importante sito web cinese.
- Il kit exploit RoyalRoad RTF, utilizzato per armare i documenti nell’attacco, è associato principalmente a gruppi APT cinesi.
- Alcune versioni di prova della backdoor del 2018 sono state caricate su VirusTotal dalla Cina
Obiettivo: evitare la detection
L’operazione di sorveglianza ha compiuto sforzi significativi per evitare il rilevamento:
- Per prima cosa, il server C&C ha operato in una finestra giornaliera limitata, che è correlata all’orario di lavoro in Cina, e l’infrastruttura è stata cambiata più volte durante la campagna
- Inoltre, il malware backdoor era in sviluppo dal 2017, ma con il tempo, il malware è stato spezzato in più fasi, al fine di ostacolare l’analisi e il rilevamento
Come concluso in una nota ufficiale da Lotem Finkelsteen, Head of Threat Intelligence di Check Point Software: «Le prove indicano che abbiamo a che fare con un’operazione perfettamente organizzata che ha fatto uno sforzo significativo per non farsi scoprire. Gli aggressori hanno usato e-mail di spear-phishing, con documenti pericolosi a tema governativo, per cercare di sfruttare il Ministero degli Affari Esteri del Paese bersaglio. Ciò significa che gli aggressori hanno dovuto prima attaccare un altro dipartimento all’interno dello Stato preso di mira, rubando e armando i documenti da utilizzare. Tutto sommato, gli aggressori, che crediamo essere un gruppo di minaccia cinese, sono stati estremamente sistematici nel loro approccio. In definitiva, la nostra indagine ha portato alla scoperta di una nuova backdoor di Windows, in altre parole una nuova arma di cyber-spionaggio, che il gruppo di minaccia cinese ha sviluppato dal 2017. La backdoor è stata formata più e più volte nel corso di tre anni, prima di essere utilizzata. È molto più intrusiva e capace di raccogliere una grande quantità di dati da un computer infetto. Abbiamo imparato che gli aggressori non sono solo interessati ai cold data, ma anche al computer personale dell’obiettivo, con conseguente spionaggio dal vivo. Anche se siamo stati in grado di bloccare l’operazione di sorveglianza per il governo del sud-est asiatico descritto, è possibile che il gruppo hacker stia usando la sua nuova arma su altri obiettivi in tutto il mondo».