Operazione Digital Eye: compromissione con Visual Studio Code

Un gruppo APT (Advanced Persistent Threat) legato alla Cina ha condotto attacchi mirati contro provider di servizi IT in Europa meridionale utilizzando tecniche innovative, tra cui il tunneling remoto di Visual Studio Code e l’abuso di infrastrutture Microsoft Azure. Questa campagna, denominata Operazione Digital Eye, è stata rilevata e interrotta nelle fasi iniziali grazie alla collaborazione tra SentinelLabs e Tinexta Cyber.

Dettagli dell’attacco

Gli attacchi, condotti tra giugno e luglio 2024, hanno preso di mira aziende specializzate nella gestione di dati e infrastrutture IT per ottenere accesso a sistemi downstream critici.

Tra le tecniche utilizzate:

1. Accesso iniziale tramite SQL injection automatizzato con lo strumento sqlmap su server esposti a Internet.
2. Persistenza attraverso l’installazione di webshell PHP personalizzate, denominate PHPsert, che eseguono comandi dannosi mascherandosi come legittime.
3. Tunneling remoto con Visual Studio Code, sfruttando eseguibili firmati da Microsoft per nascondere attività malevole all’interno di infrastrutture cloud Azure.

Uso innovativo di Visual Studio Code

Il tunneling remoto tramite Visual Studio Code è stato utilizzato per stabilire un accesso persistente e comandare sistemi compromessi. Questa tecnologia consente pieno controllo del file system e dell’esecuzione di comandi, risultando difficile da rilevare poiché opera all’interno di processi firmati digitalmente e spesso esclusi dai controlli firewall.

Gli attaccanti hanno configurato un servizio Windows denominato Visual Studio Code Service per eseguire automaticamente il tunneling a ogni avvio del sistema. Utilizzando account GitHub compromessi, hanno mantenuto l’accesso remoto tramite l’interfaccia browser di Visual Studio Code.

Proseguo nella prossima parte con i dettagli sulle infrastrutture utilizzate e sulle implicazioni globali dell’Operazione Digital Eye.

Infrastruttura e impatto globale dell’Operazione Digital Eye

Infrastruttura di supporto all’attacco

Gli attaccanti hanno utilizzato server situati esclusivamente in Europa, forniti da Microsoft Azure e dall’hoster M247. Questa scelta strategica mirava a evitare sospetti, allineando le località dei server a quelle delle organizzazioni bersaglio.

• Accesso iniziale: IP 146.70.161[.]78, ospitato da M247 in Polonia, sfruttato per SQL injection.
• Persistenza tramite webshell: IP 185.76.78[.]117 in Italia, utilizzato per operare la webshell PHPsert.
• Comando e controllo (C2): IP 4.232.170[.]137, parte della regione italiana di Azure, sfruttato per l’accesso remoto tramite SSH e Visual Studio Code.

La combinazione di infrastrutture cloud pubbliche e strumenti di sviluppo legittimi ha reso il traffico difficilmente rilevabile, aumentando le probabilità di successo dell’attacco.

Implicazioni e parallelismi globali

L’Operazione Digital Eye è strettamente legata a tecniche e strumenti precedentemente attribuiti a gruppi APT cinesi, come Granite Typhoon (ex Gallium) e APT41. L’uso di strumenti derivati da Mimikatz, personalizzati per attacchi pass-the-hash, e la condivisione di playbook operativi suggeriscono una collaborazione tra cluster di minacce sponsorizzati dalla Cina.

Campagne precedenti come Operation Soft Cell (attacchi a provider di telecomunicazioni) e Operation Tainted Love (mediorientale) presentano molte somiglianze con Digital Eye, evidenziando l’evoluzione delle tattiche all’interno dello stesso ecosistema di minacce.

L’Operazione Digital Eye mette in luce la crescente sofisticazione delle minacce APT sponsorizzate dalla Cina, che sfruttano strumenti legittimi e infrastrutture cloud per evadere i controlli di sicurezza. Le organizzazioni devono rafforzare il monitoraggio di applicazioni firmate e implementare soluzioni che individuino traffico anomalo all’interno di reti aziendali.