Gli esperti di Check Point Research (CPR) rivelano nuove attività e attacchi hacker contro la Russia e i suoi istituti di difesa statali. Si tratterebbe di una campagna di cyber-spionaggio operata da diversi gruppo APT cinesi. Questi starebbero tentando di sfruttare le numerose sanzioni occidentali contro il Cremlino come attività di esca per operazioni di spionaggio. Del resto le sanzioni hanno portato particolare pressione sull’economia russa, soprattutto sul settore industriale.
La ricerca evidenzia come queste campagne siano in realtà parte di un quadro di spionaggio più ampio ad opera di hacker cinesi, che già da qualche mese stanno prendendo di mira diverse organizzazioni legate alla Russia. Il report redatto da CPR rivela inoltre il funzionamento delle metodologie di adescamento, che in genere arrivano sotto forma di campagne di phishing, spesso molto elaborate.
Spear-Phishing: dentro gli attacchi hacker ai danni della Russia
Check Point Research ci propone un esempio di spear-phishing utilizzato in queste campagne. Si tratta ovviamente di attacchi che possono avere varia forma (dagli SMS ai social media), anche se il mezzo preferito dalle cyber-spie sembra restare l’e-mail. Nel report di CPR si legge:
“Il 23 marzo, alcune e-mail dannose hanno preso di mira diversi istituti di ricerca sulla difesa con sede in Russia. Le e-mail, che avevano come oggetto “List of <target institute name> persons under US sanctions for invading Ukraine”, contenevano un link a un sito controllato dall’aggressore che imitava il Ministero della Salute della Russia minzdravros[.]com e un documento dannoso allegato:
La mail conteneva una serie di documenti allegata, tutti realizzati in modo assolutamente credibile, tanto da sembrare documenti ufficiali del Ministero della Salute russo, con tanto di stemma e titolo ufficiale:
Lo stesso giorno, un’altra e-mail di phishing molto simile è arrivata a un’entità non rivelata a Minsk, in Bielorussia, con l’oggetto “US Spread of Deadly Pathogens in Belarus”.
C’è la Cina dietro tutto questo? La parola agli esperti di CPR
I ricercatori hanno considerato le metodologie e procedure utilizzate (TTP), arrivando alla conclusione che si tratti di un hacker cinese APT, pur senza individuarne lo specifico colpevole . Nel report si legge:
“I gruppi cinesi sono noti per riutilizzare e condividere gli strumenti. La campagna Twisted Panda presenta molteplici somiglianze con hacker cinesi di cyber-spionaggio avanzati e di lunga data, come l’offuscamento dei flussi di controllo osservato in SPINNER che è stato precedentemente utilizzato dal gruppo cinese APT10 ed è riapparso in una recente campagna nominata Mustang Panda. Tuttavia, non ci sono prove sufficientemente solide, come le connessioni situate nelle infrastrutture, per puntare il dito contro uno specifico gruppo cinese”.
Nella ricerca si accenna anche al piano Made in China 2025. Questo consiste in una roadmap che porterà la Cina a diventare leader mondiale in diversi settori cardine (come la robotica e le attrezzature sanitare).
CPR rivela infine che gli istituti di ricerca russi attaccati sarebbero appartenenti ad una holding del conglomerato statale russo della difesa Rostec Corporation. Quest’ultima è la più grande holding russa nel settore della radioelettronica. Gli istituti di ricerca presi di mira si occupano principalmente dello sviluppo e della produzione di sistemi di guerra elettronica, di apparecchiature radioelettroniche militari di bordo, di stazioni radar aeree e di mezzi di identificazione statale.
A questo link è possibile consultare il report completo stilato da Check Point Research.
- Scopri posti unici, ricchi di fauna e flora fantastiche, animato soltanto dalla voglia di esplorare e dalle meccaniche...
- Impara a creare con l'alchimia i semi di mondo, capaci di generare mondi totalmente nuovi e con caratteristiche
- Vieni a conoscere nuove persone e crea una community!