Il governo degli Stati Uniti espone malware di spionaggio cinese segretamente utilizzato dal 2008

Il governo degli Stati Uniti espone malware di spionaggio cinese segretamente utilizzato dal 2008

Ieri il governo degli Stati Uniti ha rilasciato informazioni su una variante di malware utilizzata dagli hacker sponsorizzati dal governo cinese in campagne di spionaggio informatico rivolte a governi, aziende e gruppi di riflessione.

Il nuovo malware è un trojan di accesso remoto (RAT) soprannominato TAIDOOR utilizzato attivamente dai cyber attori del governo cinese secondo le informazioni pubblicate oggi dal Federal Bureau of Investigation (FBI), dalla Cybersecurity and Infrastructure Security Agency (CISA) e dal Dipartimento della Difesa (DoD).

"Il malware cinese Taidoor ha compromesso i sistemi dal 2008", ha anche twittato oggi lo US Cyber ​​Command. 

US Cyber ​​Command ha anche caricato quattro campioni delle varianti di malware RAT appena scoperte nel repository di aggregazione di malware VirusTotal.

Le informazioni raccolte durante l'analisi dei campioni cinesi di TAIDOOR RAT sono state condivise anche oggi dalle agenzie governative statunitensi nell'ambito del rapporto di analisi del malware (MAR) AR20-216A con informazioni su come viene utilizzato il malware "insieme ai server proxy per mantenere una presenza sulla vittima reti e per l'ulteriore sfruttamento della rete ".

I MAR sono progettati per fornire alle organizzazioni informazioni accurate e dettagliate sull'analisi del malware acquisite tramite il reverse engineering manuale dei campioni trovati in natura.

Sono inoltre pubblicati per aiutare i difensori della rete a rilevare e ridurre al minimo l'esposizione alle attività informatiche dannose cinesi con l'aiuto di indicatori di compromesso (IOC) e regole YARA per ciascuno dei campioni rilevati.

Attacchi di maggio 2020 alle organizzazioni di ricerca COVID-19

L'FBI e la CISA hanno anche avvertito a maggio di attacchi in corso coordinati da hacker affiliati alla Repubblica popolare cinese (RPC), tentando di raccogliere informazioni su COVID-19 dopo aver compromesso le organizzazioni nei settori dell'assistenza sanitaria, farmaceutica e della ricerca negli Stati Uniti.

"Gli sforzi della Cina per colpire questi settori rappresentano una minaccia significativa per la risposta della nostra nazione a COVID-19", disse l'FBI in quel momento.

"Questo annuncio ha lo scopo di sensibilizzare gli istituti di ricerca e il pubblico americano e fornire risorse e assistenza a coloro che potrebbero essere presi di mira."

Questi hacker sono stati osservati nel tentativo di identificare e ottenere illecitamente preziose proprietà intellettuali (PI) e dati sulla salute pubblica relativi a vaccini, trattamenti e test da reti e personale affiliato alla ricerca correlata a COVID-19.

L'avvertimento è arrivato una settimana dopo un avviso congiunto emesso dalla CISA e dall'avvertimento NCSC del Regno Unito di organizzazioni coinvolte in risposte internazionali COVID-19, assistenza sanitaria e servizi essenziali che erano attivamente colpiti da gruppi di hacking sostenuti dal governo.

Raccomandazioni di difesa

"Gli attori delle minacce informatiche del governo cinese stanno attivamente sfruttando le relazioni di fiducia tra i fornitori di servizi IT (come fornitori di servizi gestiti e fornitori di servizi cloud) e i loro clienti", afferma CISA.

"L'intento di condividere queste informazioni è consentire ai difensori della rete di identificare e ridurre l'esposizione alle attività informatiche dannose cinesi".

L'agenzia per la sicurezza informatica fornisce raccomandazioni agli amministratori di sistema e ai proprietari per contribuire a rafforzare la posizione di sicurezza dei sistemi della propria organizzazione:

• Mantenere firme e software antivirus aggiornati.
• Mantenere aggiornate le patch del sistema operativo.
• Disabilitare i servizi di condivisione di file e stampanti. Se sono richiesti questi servizi, utilizzare password complesse o autenticazione di Active Directory.
• Limitare la capacità (autorizzazioni) degli utenti di installare ed eseguire applicazioni software indesiderate. Non aggiungere utenti al gruppo degli amministratori locali se non richiesto.
• Applicare una politica di password complessa e implementare modifiche periodiche della password.
• Prestare attenzione quando si aprono gli allegati di posta elettronica anche se è previsto l'allegato e il mittente sembra essere noto.
• Abilitare un firewall personale sulle workstation dell'agenzia, configurato per rifiutare richieste di connessione indesiderate.
• Disabilitare i servizi non necessari su workstation e server di agenzia.
• Scansione e rimozione di allegati e-mail sospetti; assicurarsi che l'allegato digitalizzato sia il suo "tipo di file vero" (ovvero, l'estensione corrisponde all'intestazione del file).
• Monitorare le abitudini di navigazione Web degli utenti; limitare l'accesso a siti con contenuti sfavorevoli.
• Prestare attenzione quando si utilizzano supporti rimovibili (ad es. Chiavette USB, unità esterne, CD, ecc.).
• Eseguire la scansione di tutto il software scaricato da Internet prima dell'esecuzione.
• Mantenere la consapevolezza situazionale delle ultime minacce e implementare elenchi di controllo di accesso (ACL) appropriati.

Ulteriori informazioni su come prevenire le infezioni da malware sono disponibili nella Guida alla prevenzione e alla gestione degli incidenti malware per desktop e laptop pubblicata dal National Institute of Standards and Technology (NIST).

Maggiori dettagli sull'attività cyber maligna cinese sotto forma di avvisi precedenti e MAR rilasciati tramite il National Cyber ​​Awareness System sono disponibili qui.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.