4 Agosto 2020 - Tempo di lettura: 10 minuti
Ieri il governo degli Stati Uniti ha rilasciato informazioni su una variante di malware utilizzata dagli hacker sponsorizzati dal governo cinese in campagne di spionaggio informatico rivolte a governi, aziende e gruppi di riflessione.
Il nuovo malware è un trojan di accesso remoto (RAT) soprannominato TAIDOOR utilizzato attivamente dai cyber attori del governo cinese secondo le informazioni pubblicate oggi dal Federal Bureau of Investigation (FBI), dalla Cybersecurity and Infrastructure Security Agency (CISA) e dal Dipartimento della Difesa (DoD).
"Il malware cinese Taidoor ha compromesso i sistemi dal 2008", ha anche twittato oggi lo US Cyber Command.
US Cyber Command ha anche caricato quattro campioni delle varianti di malware RAT appena scoperte nel repository di aggregazione di malware VirusTotal.
Le informazioni raccolte durante l'analisi dei campioni cinesi di TAIDOOR RAT sono state condivise anche oggi dalle agenzie governative statunitensi nell'ambito del rapporto di analisi del malware (MAR) AR20-216A con informazioni su come viene utilizzato il malware "insieme ai server proxy per mantenere una presenza sulla vittima reti e per l'ulteriore sfruttamento della rete ".
I MAR sono progettati per fornire alle organizzazioni informazioni accurate e dettagliate sull'analisi del malware acquisite tramite il reverse engineering manuale dei campioni trovati in natura.
Sono inoltre pubblicati per aiutare i difensori della rete a rilevare e ridurre al minimo l'esposizione alle attività informatiche dannose cinesi con l'aiuto di indicatori di compromesso (IOC) e regole YARA per ciascuno dei campioni rilevati.
L'FBI e la CISA hanno anche avvertito a maggio di attacchi in corso coordinati da hacker affiliati alla Repubblica popolare cinese (RPC), tentando di raccogliere informazioni su COVID-19 dopo aver compromesso le organizzazioni nei settori dell'assistenza sanitaria, farmaceutica e della ricerca negli Stati Uniti.
"Gli sforzi della Cina per colpire questi settori rappresentano una minaccia significativa per la risposta della nostra nazione a COVID-19", disse l'FBI in quel momento.
"Questo annuncio ha lo scopo di sensibilizzare gli istituti di ricerca e il pubblico americano e fornire risorse e assistenza a coloro che potrebbero essere presi di mira."
Questi hacker sono stati osservati nel tentativo di identificare e ottenere illecitamente preziose proprietà intellettuali (PI) e dati sulla salute pubblica relativi a vaccini, trattamenti e test da reti e personale affiliato alla ricerca correlata a COVID-19.
L'avvertimento è arrivato una settimana dopo un avviso congiunto emesso dalla CISA e dall'avvertimento NCSC del Regno Unito di organizzazioni coinvolte in risposte internazionali COVID-19, assistenza sanitaria e servizi essenziali che erano attivamente colpiti da gruppi di hacking sostenuti dal governo.
"Gli attori delle minacce informatiche del governo cinese stanno attivamente sfruttando le relazioni di fiducia tra i fornitori di servizi IT (come fornitori di servizi gestiti e fornitori di servizi cloud) e i loro clienti", afferma CISA.
"L'intento di condividere queste informazioni è consentire ai difensori della rete di identificare e ridurre l'esposizione alle attività informatiche dannose cinesi".
L'agenzia per la sicurezza informatica fornisce raccomandazioni agli amministratori di sistema e ai proprietari per contribuire a rafforzare la posizione di sicurezza dei sistemi della propria organizzazione:
Ulteriori informazioni su come prevenire le infezioni da malware sono disponibili nella Guida alla prevenzione e alla gestione degli incidenti malware per desktop e laptop pubblicata dal National Institute of Standards and Technology (NIST).
Maggiori dettagli sull'attività cyber maligna cinese sotto forma di avvisi precedenti e MAR rilasciati tramite il National Cyber Awareness System sono disponibili qui.