È stato emesso il 27 Agosto l’avviso congiunto CISA (Alert CodeAA25-239°), Fbi e Nsa che riporta i dettagli di una maxi-campagna in corso che, deliberata e persistente, punta ad ottenere l’accesso a lungo termine alle reti di infrastrutture critiche in tutto il mondo.

Gli attori malevoli sembrerebbero soggetti attribuiti allo Stato della Repubblica Popolare Cinese (RPC) e le minacce sono di tipo avanzato e persistente (APT).

Call to action

Gli attori sono stati individuati e, in parte, elencati dall’avviso di sicurezza CISA ed FBI: Salt Typhoon, Operator Panda, RedMike (che sembra essere allineato con il gruppo denominato Salt Typhoon), UNC5807 e GhostEmperor.

Tuttavia sembra che anche altri gruppi siano coinvolti.

L’intento malevolo è quello di eludere il rilevamento difensivo e modificare opportunamente le configurazioni di router e apparati di rete, in modo da mantenere accesso persistente e duraturo alle relative infrastrutture per scopi di esfiltrazione di informazioni e spionaggio.

La chiamata all’azione per tutti gli operatori di sicurezza è verificare le vulnerabilità già note nei router delle dorsale di rete utilizzata dai fornitori di servizi di telecomunicazioni e da altri operatori infrastrutturali, rispondenti alle seguenti CVE sfruttabili per l’accesso iniziale (CSIRT Acn):

• CVE-2024-21887: vulnerabilità di tipo “Arbitrary Code Execution” in Ivanti Connect Secure e Ivanti Policy Secure (già trattata da questo CSIRT nell’ambito dell’AL01/240111/CSIRT-ITA)
• CVE-2024-3400: vulnerabilità di tipo “Remote Code Execution” in Palo Alto Networks PAN-OS (già trattata da questo CSIRT nell’ambito dell’AL03/240412/CSIRT-ITA)
• CVE-2023-20198 e CVE-2023-20273: vulnerabilità rispettivamente di tipo “Authentication Bypass” e “Privilege Escalation” in Cisco IOS XE (già trattate nell’ambito dell’AL03/231016/CSIRT-ITA);
• CVE-2018-0171: vulnerabilità di tipo “Remote Code Execution” in Cisco IOS XE;
• CVE-2023-20273: iniezione di comandi/escalation dei privilegi post-autenticazione dell’interfaccia utente di gestione web del software Cisco Internetworking Operating System (IOS) XE (comunemente concatenata con CVE-2023-20198 per l’accesso iniziale per ottenere l’esecuzione del codice come root).

Attacco contro le infrastrutture critiche mondiali: l’avviso CISA

L’alert CISA spiega come siano sfruttate infrastrutture, come server privati ​ virtuali (VPS), e router intermedi compromessi, che non sono stati attribuiti a una botnet pubblicamente nota o a un’infrastruttura di rete di offuscamento per prendere di mira i fornitori di servizi di telecomunicazioni e di rete, inclusi gli ISP.

In alcuni casi, gli attori modificano il routing e abilitano il mirroring del traffico sui dispositivi di rete compromessi e configurano tunnelling e rotte statiche per le stesse finalità di spionaggio delle vittime.

Per ognuna di queste casistiche è indicata la tecnica o sotto tecnica di attacco utilizzata e commentata nel MTRE ATT&CK framework.

Nell’avviso/guida sono elencate tutte le tecniche di persistenza, di movimentazione laterale, di collezione di informazioni utili e di esfiltrazione con una descrizione estensiva che delineano un preciso modus-operandi di questi attori riconducibili a sponsorizzazione dallo Stato cinese.

L’emessione dell’avviso congiunto dal titolo “Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System” è avvernuta insieme agli alleati dell’accordo di condivisione di intelligence in lingua inglese Five Eyes (un’alleanza di sorveglianza che coinvolge Australia, Canada, Nuova Zelanda, Regno Unito e Usa, basata sull’accordo UkUsa, un’ulteriore alleanza di Paesi anglofoni) e anche ad agenzie di Finlandia, Paesi Bassi, Polonia e Repubblica Ceca.

Lo stato della compromissione a livello globale

L’FBI ha contribuito avvisando che secondo le sue investigazioni lo stato della compromissione è in estensione.

La campagna aveva avuto successo in nove società di telecomunicazioni statunitensi e provider di servizi internet (Internet service providers – ISPs e si è estesa ad altri settori tra cui, a titolo esemplificativo ma non esaustivo, reti di telecomunicazioni, governative, di trasporto, di alloggio e di infrastrutture militari e regioni, colpendo almeno 200 organizzazioni americane e 80 Paesi.

Tuttavia, il report Nsa cita come l’FBI abbia avvisato almeno 600 organizzazioni.
Secondo il report Nsa, le attività si collegano a diverse organizzazioni con sede in Cina, tra cui Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology e Sichuan Zhixin Ruijie Network Technology, che forniscono prodotti e servizi informatici al ministero della Sicurezza dello Stato e all’esercito popolare di liberazione cinese.

La Cina dietro all’attacco globale contro le infrastrutture critiche

Le attività dei gruppi malevoli di attacco, grazie alla correlazione con il governo cinese, sono già oggetto di un’approfondita sezione on line che è aperta per la pubblica consultazione: “Panoramica e avvisi sulle minacce informatiche nella Repubblica Popolare Cinese“, al fine di fornire ogni dettaglio utile alla conoscenza degli attori malevoli e delle modalità e tecniche di azione per poter istituire valide azioni di prevenzione, rilevamento e contromisura.

Il vicedirettore dell’FBI Brett Leatherman, a capo della divisione informatica dell’agenzia, ha affermato in un video che “le intrusioni si verificano almeno dal 2019 con infiltrazione e raccolta silenziosa di informazioni per spionaggio”.

I dettagli

L’esito delle infiltrazioni ha permesso agli attaccanti di ottenere informazioni sensibili estraendo i registri delle chiamate.

Secondo alcune direttive delle forze dell’ordine, gli attaccanti hanno tracciare una mappa su mittenti e riceventi di chiamate (principalmente su politici statunitensi), talmente precisa da permettere di individuare i sospetti di spionaggio dagli Usa.

Il vicedirettore Leatherman ha affermato che “la campagna è oltre il tradizionale spionaggio, poiché le aziende ‘attaccanti’ hanno ottenuto il permesso di scegliere i propri obiettivi, con conseguente numero eccessivo di vittime in una vasta gamma di settori, tra cui quello alberghiero e dei trasporti”.

Il vicedirettore ha anche aggiunto come “gli attacchi informatici alle telecomunicazioni erano solo un aspetto di un’offensiva intensificata da parte del governo cinese, alimentata in parte dalla partecipazione attiva del settore della sicurezza. Una campagna diversa ha incorporato capacità distruttive nei servizi di pubblica utilità, comprese le aziende elettriche e idriche”.

L’elemento che suona come un vero e proprio allarme è la constatazione che gli attaccanti state sponsored cinesi abbiano nascosto “punti di rientro” (sorta di backdoor n.d.r.) in una varietà di software e segnalato le configurazioni dei dispositivi in ​​modo che possano essere nuovamente e successivamente violati.

Azioni di mitigazione

Utilizzando le linee guida delineate nell’avviso congiunto CSA, le organizzazioni devono effettuare le verifiche al loro interno e in caso di compromissione, fornire in modo efficace i dettagli della loro condizione di compromissione alle autorità competenti, per continuare a migliorare la comprensione da parte di tutte le parti interessate dei metodi di accesso iniziale.

Dal sito ACN si legge “Denunce, segnalazioni o esposti devono essere inviati alle competenti Forze di Polizia e/o Autorità amministrative e non all’indirizzo e-mail dell’Agenzia”.

È necessario effettuare verifiche sui router per accertare l’inesistenza delle vulnerabilità e verificare la lista degli IoC (già disponibili in formato JSON in AA25-239A Countering Chinese State Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System o nel formato XML AA25-239A Countering Chinese State Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System).

La raccomandazione ovvia ed urgente è che nel caso si fosse affetti, è opportuno e necessario aggiornare tempestivamente le patch di sicurezza.

L’avviso elenca con dovizia di dettaglio sia le Tattiche, tecniche e procedure (TTP) per ogni fase dell’azione malevola permettendo il riconoscimento del comportamento di attacco ai fini della verifica, rilevamento e puntuale sanitizzazione.