ESET APT Activity Report: tutto quello che c'è da sapere sulle attività dei gruppi sponsorizzati da Stati

Gli attacchi informatici sono in costante crescita e a far paura sono prevalentemente gli APT, gli Advanced Persistent Threat, cioè gruppi di criminali che si sospettano essere sponsorizzati, o quantomeno coperti, da alcuni Paesi. Per monetizzare, in alcuni casi (per esempio la Corea del Nord), ma anche per sabotare le infrastrutture di altri Paesi, soprattutto in un contesto geopolitico come quello attuale. È il caso di Cina e Russia. Ma quali sono questi gruppi, come agiscono, quali bersagli prediligono? ESET ha fatto il punto della situazione nel suo APT Activity Report. 

Cosa emerge dalll'APT Activity Report di ESET

“La maggior parte delle campagne ha avuto come obiettivo organizzazioni governative e alcuni settori verticali, ad esempio quelli oggetto di continui e incessanti attacchi alle infrastrutture ucraine. In Europa si è assistito a una gamma più diversificata di attacchi da parte di vari attori delle minacce. I gruppi allineati alla Russia hanno rafforzato la loro attenzione per lo spionaggio nell'Unione Europea, dove anche gli attori delle minacce filo-cinesi mantengono una presenza consistente, manifestando un costante interesse per gli affari europei da parte di gruppi allineati sia alla Russia che alla Cina", dichiara Jean-Ian Boutin, Director of Threat Research di ESET, commentando quanto emerge dall'analisi.

Il rapporto si basa sull'analisi delle attività degli ATP documentate fra ottobre 2023 e marzo 2024, e approfondisce come operano i principali gruppi criminali attivi in Russia, Cina, Corea del Nord, Iran. 

Per quanto riguarda la Cina, secondo ESET diversi gruppi allineati con la Cina hanno sfruttato vulnerabilità in dispositivi accessibili al pubblico (VPN e firewall) e software (fra cui Confluence e Microsoft Exchange Server) per un accesso iniziale ai sistemi delle loro vittime. Fra i gruppi che si sospetta operino in quest'aera Mustang Panda, che ha preso di mira il settore del trasporto marittimo europeo sfruttando il trojan Korplug. Questo malware è stato caricato su sistemi informatici appartenenti alle aziende che si occupano di spedizioni. In alcuni casi, il malware è stato eseguito da una chiavetta USB. 

Gli APT operanti in Cina non si limitano a bersagli europei. Negli ultimi sei mesi, infatti, gli esperti di ESET hanno rilevato numerose campagne contro Taiwan. È stata compromessa l'infrastruttura di una emittente taiwanese e gli analisti sono ragionevolmente certi che sia stata organizzata dal gruppo SparklingGoblin. Il gruppo Flax Typhoon, invece, si è concentrata sul violare i server di Microsoft Exchange. 

Gli APT attivi in Medio Oriente

BladedFeline è un APT che si suppone legato all'Iran e che negli ultimi 6 mesi si è concentrato sull'attaccare un'organizzazione governativa in Kurdistan. Non solo: è anche riuscito a compromettere i sistemi di un provider di telecomunicazioni in Uzbekistan. 

POLONIUM, invece, è un gruppo allineato agli interessi di Hezbollah. I suoi bersagli sono prevalentemente in Israele, con vittime nell'ambito del settore tecnologico e quello sociale, ma anche aziende manifatturiere e operanti nella sanità e nelle costruzioni. L'approccio molto particolare di POLONIUM, che prevede strumenti costruiti su misura per ogni bersaglio, rende molto difficile tracciarne le attività.

Gli APT legati al governo Nord Coreano

Quando si parla di criminali informatici legati alla Corea del Nord non si può evitare di parlare di Lazarus, uno degli APT più noti a livello globale, che ha preso di mira svariate imprese operanti in settori quali la difesa e l'aerospaziale. Ultimamente, però, questo gruppo ha aumentato gli sforzi per violare aziende attive nel settore delle crypto, sia compromettendo di sistemi degli sviluppatori, sia effettuando veri e propri furti di criptovalute. Si stima che nel 2023 i soli attaccanti legati al Nord Corea abbiano sottratto criptovalute per un valore compreso fra i 600 milioni e un miliardo di dollari. 

Il vettore di attacco principale di Lazarus? Lo spearphishing, cioè campagne di phishing mirate su specifici bersagli. 

Gli APT russi

Come facilmente intuibile, i bersagli dei gruppi criminali legati alla Russia sono prevalentemente l'Ucraina e vari Paesi dell'UE. Anche questi russi, come Lazarus, sfruttano molto le campagne di spearphishing per ottenere un accesso iniziale ai sistemi delle vittime. Fra i gruppi legati al Cremlino si segnala Callisto, che ha preso anche di mira il ricercatore di sicurezza Keir Giles.

Gamaredon, invece, è il gruppo più prolifico relativamente agli attacchi all'Ucraina: sono stati rilevati migliaia di tentativi di spearphishing giornalieri da questo APT. Altri gruppi sospettati di avere legami con il Cremlino sono Sandworm, che ha preso di mira operatori di telecomunicazioni e aziende energetiche ucraine. Operation Texonto, invece, è un gruppo che prende di mira individui, prevalentemente dissidenti russi.