Categorie
Sicurezza Informatica

Operazione Diplomatic Specter: analisi Cyber Spionaggio Cina

Operazione Diplomatic Specter: campagna di cyber spionaggio cinese contro entità governative in Medio Oriente, Africa e Asia

Un gruppo avanzato di minacce persistenti (APT) cinese sta conducendo una campagna di spionaggio, denominata Operazione Diplomatic Specter, che mira a entità politiche in Medio Oriente, Africa e Asia. Questa campagna è attiva almeno dalla fine del 2022 e coinvolge operazioni di spionaggio a lungo termine contro almeno sette enti governativi.

Obiettivi della campagna

L’operazione si concentra sulla raccolta di informazioni sensibili e classificate relative a missioni diplomatiche, ambasciate, operazioni militari, riunioni politiche e ministeri dei paesi presi di mira. Gli attori della minaccia utilizzano tecniche rare di esfiltrazione di email da server compromessi per ottenere queste informazioni.

Gli attacchi mirano specificamente a:

Annunci
  • Missioni diplomatiche ed economiche
  • Ambasciate
  • Operazioni militari
  • Riunioni politiche
  • Ministeri degli affari esteri e della difesa
  • Alti funzionari governativi

Tecniche di spionaggio

Il gruppo di minaccia utilizza una famiglia di backdoor precedentemente non documentate, chiamate TunnelSpecter e SweetSpecter, per mantenere l’accesso ai sistemi compromessi. Questi strumenti consentono l’esecuzione di comandi arbitrari, l’esfiltrazione di dati e il dispiegamento di ulteriore malware.

TunnelSpecter

  • DNS Tunneling: Utilizza la tecnica di tunneling DNS per la comunicazione con il server di comando e controllo (C2).
  • Esecuzione di Comandi Arbitrari: Permette l’esecuzione remota di comandi sul sistema infetto.
  • Cifratura dei Dati: Cifra i dati esfiltrati per aumentare la furtività.

SweetSpecter

  • Pacchetti Encrypted zlib: Comunica con il C2 utilizzando pacchetti zlib criptati.
  • Cifratura Esclusiva: Utilizza chiavi di registro uniche per memorizzare i dati di configurazione.
  • Somiglianze con Gh0st RAT: Condivide caratteristiche con varianti di Gh0st RAT, un malware noto per lo spionaggio.

Connessione con la Cina

L’analisi delle attività del gruppo di minaccia indica una forte connessione con gli interessi statali cinesi. I segni distintivi includono l’utilizzo di infrastrutture operative APT cinesi, strumenti comuni tra gli attori di minacce cinesi e commenti nei codici scritti in mandarino.

Implicazioni di Sicurezza

L’uso ripetuto di vulnerabilità note nei server Exchange e nei server web pubblicamente accessibili evidenzia l’importanza di rafforzare la sicurezza delle infrastrutture critiche. Le organizzazioni devono applicare le patch di sicurezza in modo tempestivo e adottare migliori pratiche di igiene informatica per ridurre la superficie di attacco.

Misure di Protezione

Palo Alto Networks offre diverse soluzioni per proteggere contro questa campagna:

  • Firewall di Nuova Generazione: Con servizi di sicurezza basati su cloud e prevenzione avanzata delle minacce.
  • Automazione della Sicurezza: Attraverso Cortex XSOAR e XSIAM, che forniscono una comprensione completa delle minacce.
  • Protezione Anti-Exploit: Utilizzando moduli di protezione contro exploit noti e sconosciuti.
  • Sicurezza del Cloud: Prisma Cloud Compute e WildFire per rilevare e prevenire l’esecuzione di malware.

Le organizzazioni che sospettano di essere state compromesse possono contattare il team di risposta agli incidenti di Unit 42 per assistenza immediata.

Di Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Exit mobile version