skip to Main Content

Gli hacker cinesi APT10 attaccano il settore IT in India con nuovi tool

APT10 usa nuovi strumenti per il cyber spionaggio

Il gruppo di hacker cinese APT10 (Advanced Persistent Threat 10) sta usando nuovi strumenti per azioni di cyber spionaggio. Lo hanno scoperto i ricercatori di FireEye, che monitorano la formazione dal 2009. Questa storicamente attaccato bersagli legati alle costruzioni, all’ingegneria, all’aerospazio e alle Tlc in Europa, Usa e Giappone. L’obiettivo è stato sempre lo stesso: rubare informazioni sensibili da mettere poi a disposizione nella Repubblica Popolare. Oggi, invece, è cambiato il paese target: è l’India e in particolare l’ambito della Information Technology (IT). Sono stati, infatti, questi attacchi a far rilevare a FireEye che APT10 ha a disposizione nuovi tool.

Quali sono le tecniche e i malware usati da APT10 negli attacchi

APT10 è nota anche come CVNX, Stone Panda, MenuPass e POTASSIUM. Per gli attacchi tilizza sia il classico spear phishing, basandosi sulla social engineering, sia i provider. L’obiettivo è avere accesso ai network delle vittime. Con la seconda tecnica, però, c’è un grande vantaggio. Bucare i provider, infatti, permette agli hacker di muoversi lateralmente all’interno delle reti dei bersagli. Inoltre, il traffico tra il provider degli utenti e quello dei servizi è generalmente visto come benigno da molti specialisti nella cyber security. Ciò permette agli assalitori di sottrarre dati senza destare sospetti e rimanendo nell’ombra. A proposito, FireEye ha scoperto che HAYMAKER e SNUGRIDE sono usate come backdoor nella prima fase. BUGJUICE e una versione customizzata di QUASARRAT nella seconda.

APT10 investe su sviluppo capacità e innovazione, ma UK li blocca con operazione Cloud Hopper

L’uso di questi nuovi malware mostra, secondo FireEye, che APT10 sta investendo sullo sviluppo delle capacità e sull’innovazione. HAYMAKER può scaricare ed eseguire altri programmi in forma di moduli. BUGJUICE, invece, Lancia un file benigno e poi hackera l’ordine di ricerca per caricarvi all’interno una dll malevola. Questa, poi provvede a decrittare ed eseguire il trojan reale. Peraltro, anche le vittime sono di diverso tipo rispetto al passato. Dalle aree tradizionali, gli attacchi si stanno concentrando al settore IT e non solo nella regione. Ma a livello globale. Tanto che nel Regno Unito è stata smantellata una campagna di cyber spionaggio condotta da APT10, considerata tra le più grandi a livello mondiale. I protagonisti sono stati PwC, BAE Systems e l’NCSC UK. Nome in codice dell’operazione: “Cloud Hopper”.

L’analisi di FireEye su APT10

L’operazione Cloud Hopper, dal sito di PwC

Back To Top