L’operazione Cobalt Kitty andava avanti da un anno quando è stata scoperta

Ai ransomworm successori di WannaCry si aggiunge un altro pericolo in Asia: gli hacker di OceanLotus (alias APT-C-00, SeaLotus e APT32). Il gruppo ha condotto una maxi offensiva di cyber spionaggio contro una delle più grandi aziende del continente. L’operazione, scoperta dai Cybereason Labs, è stata chiamata Cobalt Kitty. L’obiettivo era rubare informazioni economiche aziendali, usando una serie di vittime come il top management dell’impresa. Dai vice presidenti ai direttori generali, al personale chiave dei dipartimenti presi di mira. Il cyber attacco, peraltro, è stato scoperto dopo un anno dal suo inizio. Di conseguenza non si sa quante e quali informazioni siano state sottratte illegalmente dai network. Inoltre, nonostante fossero stati rilevati, gli hacker non hanno desistito dai loro intenti e hanno continuato a colpire.

Come è avvenuta l’operazione Cobalt Kitty

Il vettore di penetrazione iniziale è stata una campagna di social engineering che ha portato allo spear-phishing,. A seguito di ciò sono stati infettati oltre 40 computer dei network aziendali. Tra questi i controller dei domini e i server: che siano dei file, delle Web application o dei database. I Cybereason Labs aggiungono che gli hacker di OeanLotus hanno poi lanciato una serie di tools. Prima alcuni disponibili a tutti, ma modificati, allo scopo di rubare dati. Poi, quando è stata rilevata l’intrusione, ne sono stati usati 6, creati ex novo dalla formazione. Peraltro è stato sostituito anche il Powershell in 48 ore. Il cyber attacco sembrava essere stato fermato, ma dopo un mese è ripartito a sorpresa da un server compromesso. Con nuovi strumenti e tecniche per bypassare gli interventi di mitigazione dei team IT delle aziende, riuscendo a sottrarre altre informazioni prima di essere fermato.

L’analisi dell’operazione fornisce elementi importanti sulle capacità di OceanLotus

L’analisi dell’operazione Cobalt Kitty ha fatto emergere una serie di elementi. In primis la pericolosità di OceanLotus. L’azione è stata una delle più grandi azioni di cyber spionaggio che il gruppo ha portato avanti. Peraltro dimostrando una determinazione e motivazione, mai apparse finora. Gli hacker sono stati capaci di adattarsi all’evolversi della situazione e avevano una conoscenza approfondita delle infrastrutture dei bersagli. La conferma viene dall’impiego di nuovi tools in tempi brevissimi. Inoltre avevano un piano ben definito, nel quale erano contemplate delle variabili. Come si è visto nella sostituzione in meno di 2 giorni del Powershell. Infine, è evidente che i cyber criminali studiavano le vittime da tempo ed erano preparati a diversi scenari. Non è stato un caso il secondo attacco a un mese dal primo.

C’è una nazione dietro OceanLotus? Intanto cresce il cyber spionaggio in Asia, complici i ransomworm

Per quanto riguarda l’identità di OceanLotus, infine, non ci sono conferme ma solo sospetti. Il gruppo ha lanciato diverse operazioni come Cobalt Kitty nell’ultimo periodo. Anche in contemporanea tra loro e contro obiettivi di diverso tipo. Fare ciò, però, richiede un numero molto elevato di risorse, manodopera e motivazione. La combinazione non si attaglia alla maggior parte dei gruppi di hacker specializzati in cybercrime. Ma è frequente in quelli legati ad attori a livello di Paese. Perciò, è abbastanza probabile che anche in questo caso si tratti di un’azione di cyber spionaggio su mandato nazionale. Peraltro, secondo diversi ricercatori si stanno moltiplicando in tutto il continente azioni di questo tipo. Soprattutto nell’ultimo periodo. Ciò per tentare di sfruttare il fatto che l’attenzione è concentrata su come debellare WannaCry e i suoi successori.

L’articolo dei Cybereason Labs sull’attacco hacker di OceanLotus, con tutti i dettagli dell’azione APT