Aggiornamenti recenti Marzo 29th, 2024 9:00 AM
Ago 31, 2016 Marco Schiaffino Attacchi, Intrusione, Malware, News 0
La vicenda si iscrive nel più classico degli schemi dello spionaggio di stato: un’area geografica contesa, nazioni con aspirazioni contrapposte e un processo di “dialogo” che nasconde frizioni e conflitti mai sopiti.
L’area è quella del mar cinese meridionale, in cui varie nazioni (tra cui la Cina) si stanno confrontando da anni contrapponendo le loro aspirazioni per affermare la sovranità nazionale su isole e aree geografiche ricche di risorse naturali.
Il copione vuole che, accanto alla diplomazia, a muoversi siano anche gli 007 dei diversi paesi coinvolti, e lo facciano utilizzando tutti gli strumenti che hanno a disposizione. Uno di questi è NanHaiShu: un software spia che gli analisti di F-Secure hanno individuato e studiato in maniera approfondita.
Stando al report pubblicato dai ricercatori dell’azienda finlandese, il malware sarebbe in circolazione da quasi due anni. Il primo esemplare, infatti, è stato individuato il 13 gennaio 2015. Per quanto riguarda l’origine del malware, gli analisti hanno pochi dubbi: tutti gli indizi conducono alla Cina.
NanHaiShu è un classico RAT (Remote Access Tool) che è stato distribuito in maniera estremamente mirata attraverso campagne di spear phishing. I casi analizzati da F-Secure denunciano un’attenta pianificazione nella distribuzione del malware e un’accuratezza quasi maniacale nella scelta dei bersagli e delle tecniche di infezione.
Per colpire i bersagli individuati, i pirati hanno usato email con oggetti e contenuti adatti al contesto di ogni singola vittima, sfruttando anche la cronaca per suscitare il loro interesse e indurli ad aprire gli allegati ai messaggi.
Il malware viene installato attraverso l’uso delle Macro in documenti Office (XLS e DOC) e non utilizza alcun sistema per aggirare il blocco delle Macro nel pacchetto Microsoft. Questo significa che l’utente deve intervenire attivamente per autorizzarne l’esecuzione.
Nonostante questo sistema di installazione non particolarmente sofisticato, NanHaiShu adotta delle tecniche di offuscamento decisamente evolute. Il collegamento per il download del malware contenuto nel Javascript all’interno dei file, per esempio, è protetto da due livelli di codifica: una in base 64 e una crittografica.
Il trojan è modulare, e consente ai suoi autori di scaricare qualsiasi altro tipo di programma vogliano installare sulla macchina compromessa per aggiungere nuove funzioni.
Gli indizi che conducono ai servizi segreti cinesi sono numerosi, già a partire da un profilo squisitamente tecnico. L’utilizzo di un decoder VBA per codice in base 64, per esempio, viene indicato dagli analisti come un chiaro “marchio di fabbrica” degli hacker cinesi, che adottano questa tecnica molto spesso.
Anche i collegamenti con i server Command and Control (C&C) utilizzati per gestire il malware puntano nella stessa direzione. Se in una prima fase in cui gli indirizzi IP facevano riferimento a dei servizi di hosting con sede negli USA, in seguito i collegamenti hanno infatti cominciato a far riferimento a infrastrutture situate nella Repubblica Popolare.
Il passaggio, come fanno notare i ricercatori nel report, è avvenuto in concomitanza con la notizia riguardante lo spostamento della flotta statunitense in direzione del mar cinese meridionale, proprio in un momento in cui la vicenda stava assumendo ancora maggiore importanza.
Tutte le vittime, inoltre, sono legate a nazioni coinvolte (a vario titolo) nelle dispute geopolitiche riguardanti l’area, a partire dalle Filippine, che a partire dal dicembre 2014 (1 mese prima della comparsa di NanHaiShu) sono state coinvolte con la Cina in una causa arbitrale a livello internazionale.
Feb 07, 2024 0
Dic 22, 2023 0
Nov 28, 2023 0
Set 21, 2023 0
Mar 29, 2024 0
Mar 28, 2024 0
Mar 26, 2024 0
Mar 25, 2024 0
Mar 29, 2024 0
Le aziende hanno compreso l’importanza della...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 27, 2024 0
La sanità viene presa di mira dagli infostealer: a dirlo...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...Mar 21, 2024 0
Acronis annuncia l’ottenimento della qualificazione...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 29, 2024 0
Le aziende hanno compreso l’importanza della...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 26, 2024 0
Un gruppo di ricercatori ha individuato un grosso problema...Mar 25, 2024 0
La scorsa settimana ha rappresentato una sfida...Mar 25, 2024 0
Il 22 marzo si è concluso il Pwn2Own, l’hackathon...