Gli hacker cinesi coprono le loro tracce e rimuovono il malware pochi giorni prima del rilevamento
Specialisti FireEye ha attirato l'attenzione allo strano comportamento degli hacker cinesi, Oms, nel tentativo di coprire le loro tracce, rimuovere il malware poco prima del rilevamento.
Secondo i ricercatori, due gruppi di hacker stanno utilizzando una vulnerabilità zero-day in Pulse Secure VPN per attaccare le reti di appaltatori della difesa americani e organizzazioni governative di tutto il mondo.
Secondo FireEye, gli hack sono iniziati ad agosto 2020, quando il primo gruppo di hacker, che l'azienda segue come UNC2630, ha preso di mira appaltatori della difesa statunitensi e organizzazioni europee. Secondo gli analisti, questi hacker “agire per conto del governo cinese e potrebbe avere collegamenti con APT5,” questo è un altro noto gruppo cinese di spionaggio informatico.
In ottobre 2020, un secondo gruppo di hacker si è unito agli attacchi (FireEye gli ha assegnato l'ID UNC2717), ma gli esperti non ne sapevano praticamente nulla.
In entrambi i casi, gli aggressori hanno installato web shell su dispositivi vulnerabili, e poi li usava per andare dalle vittime’ reti interne, da dove hanno rubato le credenziali, lettere e documenti riservati.
Ora in un nuovo rapporto, FireEye scrive che ulteriori indagini su questi attacchi hanno aiutato a scoprire qualcosa di strano: almeno uno dei gruppi coinvolti negli incidenti ha iniziato a rimuovere il proprio malware dalle reti infette tre giorni prima della divulgazione.
“Tra aprile 17 e 20, 2021, Gli specialisti Mandiant hanno osservato che UNC2630 ha ottenuto l'accesso a dozzine di dispositivi compromessi e ha rimosso le shell web come ATRIUM e SLIGHTPULSE”, — scrivono gli analisti.
Le azioni dei criminali informatici sembrano sospette e sollevano interrogativi, per esempio, se gli aggressori potessero conoscere l'interesse di FireEye. Ovviamente, la rimozione del malware potrebbe essere stata una coincidenza, ma se i partecipanti all'UNC2630 sapessero che FireEye stava indagando su alcune delle reti che avevano compromesso, sembra che gli hacker abbiano deliberatamente fatto marcia indietro e rimosso le prove per proteggere altre operazioni dai ricercatori.
FireEye riporta anche di aver scoperto nuovi dettagli di questa campagna di hacking. Così, gli esperti hanno trovato altri quattro ceppi di malware (in aggiunta a 12 precedentemente descritto).
- MINIERA DI SANGUE — Utilità di analisi del file di registro di Pulse Secure Connect. Recupera le informazioni relative agli accessi, pubblica ID e richieste web e copia i dati corrispondenti in un altro file.
- BANCA DEL SANGUE — Un'utilità per il furto di credenziali che analizza due file contenenti hash di password o password in un test aperto e si aspetta che il file di output venga specificato sulla riga di comando.
- CLEANPULSE — è un'utilità di patch della memoria che può essere utilizzata per impedire il verificarsi di determinati eventi di registro. È stato trovato insieme alla shell web ATRIUM.
- RAPIDO IMPULSO — Una web shell in grado di leggere file arbitrari. Come altre web shell, RAPIDPULSE è una modifica del file legittimo di Pulse Secure. Può fungere da caricatore per file crittografati.
Inoltre, FireEye continua a lavorare con gli sviluppatori di Pulse Secure per identificare i dispositivi compromessi e i loro proprietari. Questo lavoro ha permesso agli analisti di saperne di più sugli obiettivi degli aggressori. Così, secondo nuovi dati, la maggior parte delle vittime sono organizzazioni con sede negli Stati Uniti (altri si trovano in paesi europei). Mentre in precedenza si pensava che gli attacchi avessero preso di mira appaltatori della difesa e agenzie governative, è ormai chiaro che gli aggressori hanno preso di mira anche le telecomunicazioni, società finanziarie e di trasporto.
Considerando che in precedenza gli analisti di FireEye hanno scritto che solo UNC2630 può avere collegamenti con il governo cinese, ora sono fiduciosi che entrambi i gruppi sono impegnati nello spionaggio informatico e “sostenere le priorità chiave del governo cinese.”
Vi ricordo che l'ho anche scritto Il malware XCSSET utilizza attacchi 0-day in macOS.