Ransomware e malware più ingenerale sono spesso al centro delle azioni di cybersecurity, ma spesso gli attacchi che passano inosservati sono in realtà più insidiosi, e anche molto più "cari".
I ricercatori di Cybereason hanno recentemente scoperto uno di questi attacchi - denominato Operazione CuckooBees - considerato opera del gruppo cinese APT Winnti. Per anni, tale campagna ha agito inosservata, trafugando proprietà intellettuale e dati sensibili aziende tecnologiche e manifatturiere in Nord America, Europa e Asia
Il team Cybereason ha pubblicato in merito due report: uno che esamina le tattiche e le tecniche della campagna in generale e un altro che fornisce un’analisi più dettagliata del malware e degli exploit utilizzati.
Furto di progetti, schemi, formule e dati di proprietà relativi alla produzione
Nel 2021, il Cybereason Nocturnus Incident Response Team ha svolto indagini su molteplici intrusioni che hanno preso di mira diverse aziende, smascherando così una campagna di spionaggio informatico elusiva e sofisticata che opera indisturbata almeno dal 2019.
Si stima che in questi anni il gruppo sia riuscito a esfiltrare centinaia di gigabyte di informazioni grazie a una ricognizione furtiva e all'identificazione di dati di valore. Gli attaccanti hanno preso di mira la proprietà intellettuale sviluppata dalle vittime, compresi documenti sensibili, progetti, schemi, formule e dati di proprietà relativi alla produzione.
Inoltre, hanno raccolto informazioni che potrebbero essere utilizzate per futuri attacchi informatici, come i dettagli sulle business unit dell’azienda presa di mira, l’architettura di rete, gli account e le credenziali degli utenti, ma anche le e-mail dei dipendenti e i dati dei clienti.
La sequenza killer di Winnti osservata nell'operazione CuckooBees
Con un grado di attendibilità da moderato a elevato, i ricercatori di Cybereason sono riusciti ad attribuire sia le intrusioni sia l’operazione CuckooBees al gruppo APT Winnti. Winnti, noto anche come APT 41, Barium e Blackfly, è un gruppo APT sponsorizzato dallo stato cinese, noto per la sua furtività, sofisticazione e focalizzazione sul furto di segreti tecnologici.
Winnti riunisce cyber attaccanti tra i più prolifici e di successo al mondo. Alle sue spalle, ha una storia costellata di attacchi e campagne malevole a supporto delle attività di spionaggio sponsorizzate dallo stato cinese, nonché di attacchi a sfondo finanziario.
Secondo un recente report, "il chiaro utilizzo di compromissioni ai danni della supply chain con lo scopo di colpire individui mirati, l'uso sistematico di certificati digitali compromessi e l'impiego di bootkit (raro tra gli operatori APT) sono elementi che delineano un avversario creativo e ben finanziato".
E la ricerca condotta da Cybereason conferma questa valutazione. L'operazione CuckooBees offre uno sguardo sull'evoluzione del playbook delle intrusioni firmate Winnti. Oltre alle tipologie di attacco già note e più frequenti, i ricercatori di Cybereason hanno identificato anche alcune tecniche evasive uniche.
Winnti ha sfruttato sia le tecniche di malware conosciute sia alcune precedentemente non documentate, compresi i rootkit firmati digitalmente a livello di kernel. La minaccia ha utilizzato un'elaborata catena di infezione a più stadi, fondamentale per consentire al gruppo di rimanere inosservato così a lungo.
Proprietà intellettuale sotto assedio
I diritti di proprietà intellettuale sono essenziali per l'economia globale. I brevetti, i diritti d'autore e i marchi sono rispettati e applicati in tutto il mondo poiché le nazioni riconoscono che i concetti innovativi e lo sforzo implicito delle attività di ricerca e sviluppo, nonché di posizionamento sul mercato, meritano la giusta ricompensa.
L'economia verrebbe minata se un'azienda o una nazione rubasse la proprietà intellettuale di un individuo, costringendolo poi a competere contro la sua stessa invenzione, abbassandone il valore poiché svincolata dagli investimenti in ricerca e sviluppo che invece l'ideatore dovrebbe recuperare.
La proprietà intellettuale è purtroppo un obiettivo primario dello spionaggio, sia tra aziende sia tra stati. Nonostante gli accordi e le protezioni in vigore, coloro che sono mossi più dall'ambizione che dall'etica preferiscono investire sforzi e risorse nel rubare la proprietà intellettuale di altri piuttosto che concentrarsi sullo sviluppo di innovazioni proprie.
La Cina e le entità allineate agli interessi cinesi sono coinvolti frequentemente in furti di proprietà intellettuale. Nel maggio del 2021, gli Stati Uniti hanno accusato quattro cittadini cinesi di coinvolgimento in una campagna globale di intrusione informatica mirata a rubare informazioni commerciali riservate e proprietà intellettuale.
Il gruppo ha impiegato falsi profili online e tecniche di spear phishing, ma anche credenziali hackerate e malware sofisticati per compromettere le reti ed esfiltrare i dati.