APT Naikon: furto di dati nel Mar Cinese Meridionale

19 Mag 2015

Naikon la APT (advanced persistent threat) di lingua cinese sta attaccando numerose istituzioni militari, governative e civili nel Mar Cinese Meridionale, zona contesa tra diverse nazioni del Sud-est asiatico.

Naikon è conosciuta come APT-30. I suoi obiettivi, secondo il nuovo report pubblicato dal Global Research and Analysis Team di Kaspesky Lab, includono Filippine, Malesia, Cambogia, Indonesia, Vietnam, Myanmar, Singapore e Nepal.

Naikon mappa (inglese)

Come avviene in molte altre campagne APT, Naikon infetta le sue vittime con mail di spear-phishing che contengono in allegato eseguibili dannosi camuffati da documenti importanti legittimi. Quando una vittima apre uno di questi allegati dannosi, salta un “documento esca” (un file eseguibile) che silenziosamente sfrutta una vecchia vulnerabilità di Microsoft Office e installa un malware sul computer della vittima.

Per 5 anni, il gruppo APT ha utilizzato contatti culturali per ognuno dei suoi paesi target. In questo modo, Naikon è stata in grado di sfruttare certe “tendenze culturali”, come l’abitudine di utilizzare l’email personale a scopo di lavoro. I criminali sfruttano questa tendenza creando indirizzi email del tutto simili a quelli utilizzati in un determinato contesto, indirizzi che vengono utilizzati abilmente per inviare messaggi di phishing molto efficaci.

Inoltre, il gruppo ha installato porzioni di infrastrutture command & control nei paesi bersaglio per avere supporto giornaliero rispetto alle connesioni in real-time e furto di dati.  Queste hanno la capacità di intercettare il traffico tra le network della vittima e distribuire circa 48 comandi remoti diversi in gradi di realizzare un inventario completo dei file di sistema, scaricare e caricare i dati, installare moduli aggiuntivi o lavorare con linee di comando o prompt.

Presi nel loro insieme, questi 48 comandi permettono all’APT di prendere completamente il controllo di qualsiasi dispositivo infetto da Naikon. L’obiettivo ultimo di Naikon è quello di carpire informazioni geopolitiche.

I criminali a capo dell’operazione Naikon sono riusciti a ideare un’infrastruttura molto flessibile capace di stabile connessioni con tutti i paesei bersaglio.

“I criminali a capo dell’operazione Naikon sono riusciti a ideare un’infrastruttura molto flessibile capace di stabile connessioni con tutti i paesei bersaglio, dove le informazioni della vittima passano dal suo sistema al centro di comando” spiega Kurt Baumgartner principle security researcher di Kaspersky Lab. “Se gli hacker poi decidono di dare la caccia ad un altro target in un altro paese, basta stabilire una nuova connessione. Avere operatori dedicati focalizzati su di un particolare set di target rende le cose più facili al gruppo di spionaggio Naikon”.

Nel caso di un paese (che Kaspersky Lab ha preferito non rivelare), gli hacker sono riusciti a compromettere l’Ufficio del Presidente, le Forze Militari, l’Ufficio del Gabinetto del Segretario, il Consiglio di Sicurezza Nazionale, le autorità dell’Aviazione Civile, il Dipartimento di Giustizia, la polizia federale e l’amministrazione esecutiva/presidenziale più il suo staff.

Gli esperti di Kaspersky Lab raccomandano agli utenti di non aprire mai allegati contenuti in email inviate da persone sconosciute, usare sempre una soluzione anti-malware avanzata e mantenere il sistema operativo aggiornato con le ultime patch di sicurezza.