Così Microsoft ha bloccato il cyber spionaggio dell’APT cinese Nickel: retroscena e scenari futuri - Cybersecurity360

Un gruppo hacker cinese conosciuto come Nickel o APT15 era sotto sorveglianza di Microsoft dal 2016 e stava operando per la raccolta illecita di informazioni riservate su numerosi siti web.

Vediamo cosa è successo nel mio articolo per Cybersecurity360

Microsoft e gruppo hacker cinese APT15

Nickel o APT15 è il nome del gruppo hacker cinese che Microsoft stava monitorando da ormai cinque anni e che stava sfruttando diversi siti web per installare malware atti a raccogliere dati da agenzie governative e altri gruppi: al termine di questa attività di monitoraggio, sono stati 42 i siti web che il colosso informatico è riuscito a sequestrare.

Le vittime del gruppo hacker cinese stavano rischiando di subire attacchi particolarmente sofisticati che avrebbero sfruttato i malware per rubare dati impropriamente. Si tratta, in particolare, di regioni in cui la Cina ha un interesse geopolitico, organizzazioni diplomatiche, ministeri degli affari esteri nell’emisfero occidentale, in Europa e in Africa.

Microsoft, in un comunicato stampa, ha dichiarato di avere ottenuto da un tribunale federale in Virginia di poter assumere il controllo, attraverso la sua Digital Crimes Unit, dei siti web con sede negli USA controllati dal gruppo hacker Nickel, oltre a un ordine restrittivo temporaneo nei confronti degli hacker, e al momento sta reindirizzando il traffico di questi siti per tutelare i server Microsoft.

Gli attacchi ai computer e le modifiche apportate ai sistemi operativi Microsoft, così come, ovviamente, il fingersi Microsoft, come la stessa società ha affermato, hanno come conseguenza anche l’abuso del marchio Microsoft e l’inganno nei confronti degli utenti, dato che questi ultimi si trovano tra le mani versioni non autorizzate e modificate di Windows.

La corte ha così sentenziato: “Ci sono buone basi per credere che, a meno che gli imputati non siano trattenuti e ingiunti per ordine di questo tribunale, un danno immediato e irreparabile deriverà dalle continue violazioni degli imputati”.

Come voleva colpire l’APT cinese Nickel

Tom Burt, vicepresidente aziendale di Microsoft per la sicurezza e la fiducia dei clienti, ha dichiarato che l’azione di Nickel in questa operazione più recente, mirata a colpire organizzazioni di 29 paesi di cui non sono state rese note le generalità, aveva come obiettivo “la raccolta di informazioni da agenzie governative, think tank, università e organizzazioni per i diritti umani”.

Nel tempo, la Digital Crimes Unit di Microsoft è riuscita, in ben 24 cause legali, a eliminare oltre 10.000 siti web dannosi utilizzati da cyber criminali e quasi 600 utilizzati da personalità governative, e a bloccare 600.00 registrazioni.

Tom Burt ha aggiunto anche: “La nostra interruzione non impedirà a Nickel di continuare altre attività di hacking, ma crediamo di aver rimosso un pezzo chiave dell’infrastruttura su cui il gruppo ha fatto affidamento per quest’ultima ondata di attacchi”.

Microsoft, comunque, a quanto pare non ha trovato nuove vulnerabilità nei suoi prodotti relativi agli attacchi.

La procedura utilizzata da Nickel prevedeva la compromissione di reti private virtuali di terze parti e phishing, attraverso il quale, tramite la creazione di una falsa entità attendibile, si convince l’utente a fornire informazioni sensibili, ad esempio una password. Una volta installati i malware, il gruppo hacker cinese avrebbe collegato il computer con i siti web dannosi già sequestrati da Microsoft.

Secondo John Hammond, ricercatore di Huntress Labs, società di sicurezza informatica, l’azione di Microsoft contro i siti web rappresenta un buon esempio di “protezione proattiva contro il crimine informatico”. Dice, infatti, Hammond che “questa azione di Microsoft è un ottimo esempio di quanto siano utili questi sforzi preventivi prima che gli attori delle minacce facciano più danni”, inviando un segnale al cyber criminale nel momento in cui l’infrastruttura chiave viene messa offline.

Tutti i dettagli dell’hacking cinese

Nonostante il portavoce dell’ambasciata cinese Liu Pengyu abbia parlato di attacchi infondati nei confronti del suo paese, la Cina resta comunque una grave minaccia dal punto di vista del cyber crime, sia per gli Stati Uniti che per i suoi alleati.

In questo balletto di ruoli, la scorsa estate l’amministrazione Biden aveva già accusato Pechino di aver promosso una campagna di hacking contro la posta elettronica Microsoft di alcune grandi aziende e il segretario di stato Antony J. Blinken aveva dichiarato che il Ministero della Sicurezza di Stato cinese aveva messo in piedi “un ecosistema di hacker a contratto e criminali che svolgono sia attività sponsorizzate dallo stato che crimini informatici per il proprio guadagno finanziario”.

Gli attacchi globali legati al governo cinese sono quasi triplicati rispetto allo scorso anno e rispetto ai quattro anni precedenti, secondo Recorded Future, una società americana che studia l’uso di Internet da parte di attori legati allo stato. Si tratta, infatti, in media di più di 1.000 a trimestre. Per di più, è difficile assumere personale che sia in grado di prevenire e gestire questi tipi di attacchi, secondo Nicholas Eftimiades, un alto ufficiale dell’intelligence americana in pensione che scrive delle operazioni di spionaggio della Cina.

Di contro, capita che questi hacker cinesi si lascino sfuggire delle tracce online, che permettono alle forze dell’ordine di rintracciarli, come foto di matrimoni di agenti in uniformi di sicurezza governativa o anche proclamazioni delle loro imprese.

Secondo Matthew Brazil, ex specialista cinese per l’Ufficio per l’applicazione delle esportazioni del Dipartimento del Commercio, “le capacità dei servizi cinesi sono disomogenee” e “il loro gioco sta migliorando, e tra cinque o 10 anni sarà una storia diversa”.

Fonte: Cybersecurity360