Un avviso di sicurezza, pubblicato di recente dall’Health Sector Cybersecurity Coordination Center (HC3), ha preso in esame il rapporto tra gruppi di hacking cinesi e attacchi al settore sanitario, soprattutto quello statunitense.
In questo contesto, non si parla solo di attacchi per ottenere denaro dalle vittime. Secondo gli esperti, infatti, si parla di spionaggio sia per interessi propri dei cybercriminali, sia per conto del governo cinese. A tal proposito, per esempio, sembra che alcuni hacker del paese asiatico abbiano preso di mira le aziende farmaceutiche d’oltreoceano durante la pandemia.
Ma quali sono i gruppi più noti e pericolosi? Il nome più in voga al momento è quello di APT41 (noto anche con tanti altri nomi, come BARIUM, Winnti, LEAD, WICKED SPIDER, WICKED PANDA, Blackfly, Suckfly, Winnti Umbrella e Double Dragon).
Tale banda di cybercriminali è attiva dal 2007 e sembra dedicarsi ad attività come spionaggio ed estorsione digitale. APT41 sfrutta in modo aggressivo le vulnerabilità note, spesso entro poche ore dalla divulgazione pubblica, come nel caso delle vulnerabilità ProxyLogon e Log4J.
Gruppi hacker cinesi: cybercrimine e spionaggio
Una volta ottenuto l’accesso iniziale, il gruppo si sposta lateralmente all’interno delle reti e stabilisce un accesso persistente, spesso rimanendo nelle reti senza essere rilevato per lunghi periodi mentre i dati di interesse vengono esfiltrati. Il gruppo dispone di un vasto arsenale di malware e utilizza strumenti di sicurezza ben noti nei suoi attacchi, come:
- una versione personalizzata di Cobalt Strike;
- Acunetix;
- Nmap;
- JexBoss;
- Sqlmap.
Un altro gruppo, dal nome molto simile, è APT10. Questi hacker sono impegnati in attività di cyberspionaggio e guerra informatica, concentrandosi sul furto di dati militari e di intelligence. Il gruppo è noto per sfruttare le vulnerabilità zero-day per ottenere l’accesso alle reti degli obiettivi utilizza una varietà di strumenti personalizzati per raggiungere i propri obiettivi.
APT10 conduce attacchi altamente mirati, con l’accesso iniziale spesso ottenuto tramite la pratica nota come spear phishing. È noto anche che il gruppo prende di mira i fornitori di servizi gestiti (MSP) per attaccare i loro clienti a monte.