Da quanto ha riportato qualche giorno fa il Wall Street Journal, pare che hacker cinesi supportati dal governo di Pechino siano entrati in azione contro alcuni provider internet americani (ISP) in una campagna di spionaggio informatico con l’obiettivo di acquisire dati sensibili.

Salt Typhoon è il nome utilizzato da Microsoft per identificare il responsabile della minaccia, in alternativa a FamousSparrow e GhostEmperor.

Provider internet USA sotto attacco

Sulla testata internazionale si legge: “Gli investigatori stanno valutando se gli intrusi abbiano avuto accesso ai router di Cisco Systems, componenti della rete centrale che instradano gran parte del traffico su Internet”.

L’obiettivo finale degli attacchi è quello di ottenere un punto d’appoggio persistente all’interno delle reti target, consentendo ai threat actor di raccogliere dati sensibili o di lanciare un attacco informatico dannoso.

Già nell’ottobre del 2021 il nome di GhostEmperor era apparso nella descrizione di un’operazione evasiva, a cura della società russa di cyber sicurezza Kaspersky, che mirava al sud-est asiatico, in particolare a entità di alto profilo in Malesia, Thailandia, Vietnam, Indonesia, più entità esterne situate in Egitto, Etiopia e Afghanistan, per distribuire un rootkit chiamato Demodex.

Quest’ultimo è stato poi identificato anche successivamente, durante un’indagine di Sygnia, azienda che si occupa di cyber security, da cui è emerso che “diversi server, workstation e utenti sono risultati compromessi da un threat actor che ha utilizzato vari strumenti per comunicare con una serie di server [di comando e controllo]” e “Uno di questi strumenti è stato identificato come una variante di Demodex”.

Chi sono e come agiscono i filocinesi di GhostEmperor

GhostEmperor è un threat actor di lingua cinese scoperto, appunto, dai ricercatori di Kaspersky e che, come anticipato, si concentra principalmente su obiettivi di alto profilo nel sud-est asiatico, tra cui enti governativi e società di telecomunicazioni.

Il report pubblicato da Kaspersky nel 2021 evidenziava un aumento degli attacchi contro i server Microsoft Exchange nel secondo trimestre dell’anno e che GhostEmperor utilizzava le vulnerabilità di Microsoft Exchange per arrivare ai suoi obiettivi.

Questa operazione non mostrava, tra l’altro, affinità con altri threat actor noti.

David Emm, security expert di Kaspersky, ha affermato che: “Man mano che le tecniche di rilevamento e protezione dalle minacce si evolvono, lo fanno anche gli attori APT, in genere aggiornando i loro toolset. GhostEmperor è un chiaro esempio di come i criminali informatici cerchino nuove tecniche da utilizzare e nuove vulnerabilità da sfruttare. Utilizzando un rootkit sofisticato e precedentemente sconosciuto, hanno aggiunto ulteriori problemi alla già consolidata tendenza degli attacchi contro i server Microsoft Exchange”

Una botnet mai vista prima

L’attacco di GhostEmperor è solo l’ultimo dei colpi sferrati da Pechino contro il governo americano. Sono passati, infatti, solo pochi giorni dal recente attacco al governo statunitense da parte di una botnet di 260.000 dispositivi, dal nome Raptor Train, controllata da un’altra banda di hacker legata a Pechino, Flax Typhoon.

Una botnet di questa portata non si era mai vista prima, “una delle più grandi botnet IoT sponsorizzate dallo Stato cinese scoperte finora”, come dichiarato dall’azienda di cyber security Lumen in un report sull’argomento.

Si è trattato di un insieme di dispositivi SOHO (Small Office/Home Office) e IoT, probabilmente gestiti da un attore nazionale cinese chiamato Flax Typhoon (alias Ethereal Panda o RedJuliett).

Pare che questa botnet fosse operativa da maggio 2020, con un picco di 60.000 dispositivi attivamente compromessi nel giugno del 2023. Alcuni dei dispositivi presi di mira includono router, telecamere IP, DVR e NAS di vari produttori come ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK e Zyxel.

Dalla metà del 2020 sono state collegate alla botnet Raptor Train, in continua evoluzione, almeno quattro diverse campagne, ognuna delle quali si distingue per i domini di root utilizzati e i dispositivi presi di mira.

La campagna Canary, che ha preso di mira in modo massiccio i modem ActionTec PK5000, le telecamere IP Hikvision, gli NVR Shenzhen TVT e i router ASUS, si distingue per l’impiego di una catena di infezione a più livelli.

Finora non risultano attacchi DDoS provenienti dalla botnet, anche se ha tutti gli strumenti necessari per poter colpire entità statunitensi e taiwanesi in campo militare, governativo, dell’istruzione superiore, delle telecomunicazioni, della base industriale della difesa (DIB) e della tecnologia dell’informazione (IT).

I timori degli USA

Secondo Brandon Wales, Direttore esecutivo della Cisa, Cybersecurity and Infrastructure Security Agency, “È tutto come al solito ora per la Cina, ma l’attività è notevolmente aumentata rispetto a prima. È di un ordine di grandezza peggiore”.

Le preoccupazioni che questi attacchi provocano sono principalmente in merito alla possibilità che i loro obiettivi siano personale governativo e militare che lavora sotto copertura e gruppi di interesse strategico per la Cina.

Come sostiene Mike Horka, ricercatore presso Lumen Technologies e ex agente dell’FBI, “Si tratta di una connessione privilegiata e di alto livello con clienti interessanti” e in aggiunta, merita menzione che i gruppi hanno sfruttato difetti software sconosciuti in precedenza per poterli, eventualmente, usare successivamente.