L’Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente

Italia: rilevati attacchi ransomware e di phishing

Nell’ultima settimana diverse offensive ransomware sono state rivendicate contro realtà del nostro Paese. Nello specifico, LockBit Team ha reclamato sul proprio sito dei leak la compromissione di Bergmeister, mentre Medusa Team ha annunciato la violazione dell’Autorità di Sistema Portuale del Mar Tirreno Settentrionale (AdSP MTS), Stormous di Pagine Sì! S.p.A. e, infine, Hunters International Team di Panzeri e Cattaneo Notai Associati. Presumibilmente sempre di natura ransomware, ma non ancora attribuita ad alcun operatore noto, sarebbe invece un’offensiva a discapito di Petroltecnica S.p.A., società con sede a Cerasolo Ausa di Coriano (RN) dedicata ai servizi industriali integrati in campo ambientale. Oltre alla cifratura dei file, l’incidente (risalente al febbraio 2024) avrebbe reso inaccessibili e inutilizzabili i server aziendali, paralizzando il funzionamento di alcune applicazioni. D’altro canto, è stata tracciata una campagna di phishing multibanca ai danni dei gruppi bancari Banco BPM S.p.A. e Illimity Bank S.p.A. e di bunq B.V., azienda fintech olandese con una licenza di operatore bancario europea. Tale attività ha previsto l’uso di tre kit di phishing, simili tra loro anche per funzionalità, al fine di raccogliere i dati immessi dalle vittime in apposite pagine di phishing, per poi inviarli ai criminali informatici dietro l’operazione (di origine italiana) tramite un gruppo Telegram. Quest’ultimo presenta al suo interno un link [.]onion per accedere a un marketplace dove vengono vendute carte di credito.

I-Soon: più gruppi state-sponsored cinesi attribuiti alla società

Sono emerse nuove rivelazioni sulla società cinese I-Soon (anche nota come Anxun Information Technology Co., Ltd.), provenienti dalla recente fuga di dati pubblicata il 18 febbraio 2024, che ha fatto luce sull’ecosistema di spionaggio informatico cinese e, in particolare, sul ruolo che il contractor privato svolge nella raccolta di informazioni per conto della pubblica sicurezza, della sicurezza statale e dell’apparato militare di intelligence. In particolare, il leak ha portato alla scoperta di connessioni tra I-Soon e diversi gruppi state-sponsored di Pechino, quali RedAlpha, AQUATIC PANDA ed Evil Eye, indicando una sofisticata rete di operazioni di spionaggio che include il furto di dati di telecomunicazione per consentire il monitoraggio di individui all’interno di specifici Paesi. Tale collegamento è stato possibile grazie alla correlazione delle storiche attività degli APT cinesi sopracitati con il materiale trapelato di I-Soon, il che ha rivelato notevoli sovrapposizioni nelle infrastrutture, nei tool, nei target presi di mira e nel personale impiegato nelle offensive, schierati dall’azienda e dagli attaccanti stessi. Ciò porta a pensare che i tre avversari della Repubblica Popolare Cinese (RPC) siano in realtà sottogruppi focalizzati su specifiche missioni all’interno della stessa società. Le scoperte hanno inoltre evidenziato che è molto probabile che I-Soon utilizzi e venda l’accesso a famiglie di malware custom come ShadowPad e Winnti; avvalorando ulteriormente l’ipotesi che gli APT finanziati da Pechino siano supportati da “digital quartermasters” che consentono la condivisione di capacità custom nell’ambito di accordi commerciali. In aggiunta, sulla base dei dati analizzati, le vittime dell’azienda sono localizzate in almeno 22 Paesi con i settori governativo, delle telecomunicazioni e dell’istruzione tra quelli più bersagliati. Infine, è stato possibile comprovare che I-Soon sostiene anche le priorità di sicurezza interna della RPC, tra cui il targeting delle minoranze etniche e religiose e dell’industria del gioco d’azzardo online che soddisfa il mercato cinese. Nonostante l’impatto globale di I-Soon e il suo ampio raggio d’azione, si tratta comunque di un’azienda relativamente piccola attiva insieme a numerose altre entità in un panorama che vede diversi contractor privati cinesi che operano secondo un modello simile; il che sottolinea ancora una volta l’ampia portata delle attività informatiche del Paese a sostegno dei servizi di sicurezza e dell’intelligence militare.

APT: attivi avversari legati a Teheran, Pechino, Pyongyang e Mosca

In Medio Oriente, l’Israel National Cyber Directorate ha dichiarato di aver ricevuto segnalazioni in merito a presunti attacchi wiper di avversari state-sponsored nello spazio internet israeliano, rivolti principalmente contro organizzazioni del mondo accademico, governative locali e provider di servizi gestiti (MSP). Nonostante l’Agenzia israeliana non faccia nomi, si ritiene con moderata confidenza che le offensive siano da attribuirsi all’iraniano MuddyWater. Passando in Cina, ricercatori di sicurezza stanno monitorando dall’inizio del 2022 una campagna associata a un cluster chiamato Earth Krahang che prende di mira diverse entità governative in tutto il mondo, con un forte focus nel Sudest asiatico, ma anche in Europa, America e Africa. Si ritiene che l’attaccante sia molto probabilmente collegato o parte di AQUATIC PANDA e come quest’ultimo presumibilmente associato ad I-Soon. Spostandoci in Corea del Nord, un’operazione multifase denominata DEEP#GOSU, probabilmente associata al nordcoreano ScarCruft, abusa di servizi cloud legittimi e impiega alcuni nuovi stager PowerShell e VBScript progettati per operare in modo furtivo sui sistemi Windows di target sudcoreani. Quanto alla Russia, sono state tracciate diverse campagne di phishing in corso, attribuibili a Sofacy, che prevedono l’uso di documenti esca che imitano organizzazioni governative e non governative (ONG) in Europa, Caucaso meridionale, Asia centrale, Nord e Sud America. Da ultimo, in Europa il Bundesamt für Sicherheit in der Informationstechnik (BSI) tedesco ha rilasciato sul proprio sito un elenco dei gruppi state-sponsored che negli ultimi due anni hanno preso di mira target in Germania o attaccato organizzazioni in altri Paesi europei che potrebbero essere state colpite allo stesso modo o analogamente anche nella Repubblica federale tedesca.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi e comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.