Per FireEye dietro l'hack di Pulse Secure VPN c'è il governo cinese
Ulteriori indagini hanno portato a individuare altre quattro famiglie di malware associate agli attacchi contro la Pulse Secure VPN di Ivanti, portando il totale a 16. Un'attività di spionaggio molto mirata, ad opera di gruppi legati al governo cinese
di Alberto Falchi pubblicata il 08 Giugno 2021, alle 16:21 nel canale SecurityFireEyePulse Secure
Ad aprile sono stati scoperti una serie di attacchi che hanno interessato i dispositivi Pulse Secure VPN. Le analisi hanno mostrato che gli attaccanti hanno sfruttato una serie di vulnerabilità che hanno consentito agli hacker di violare i sistemi di autenticazione, anche a più fattori. Se alcuni di questi bachi erano noti, uno è risultato inedito: CVE-2021-22893. Da subito il dito è stato puntato su attori provenienti dalla Cina e, dopo analisi più approfondite, Fireeye Mandiant conferma un legame fra questi attaccanti e le autorità cinesi.
16 famiglie di malware ideate per infettare i dispositivi VPN Pulse Secure
Inizialmente, le indagini di Fireeye avevano individuato 12 famiglie di malware utilizzate per la compromissione di Pulse Secure VPN, malware usati da vari gruppi, che facevano presupporre che potessero esserci differenti gruppi dietro gli attacchi. Analisi più approfondite, hanno rilevato altre quattro famiglie - BLOODMINE, BLOODBANK, CLEANPULSE e RAPIDPULSE - portando il totale a 16.
Il sospetto è che l'attività di spionaggio sia stata portata avanti dai gruppi UNC2630 e UNC2717, che supportano le attività delle autorità cinesi. Non è un caso che le aziende colpite dallo spionaggio operino in settori verticali legati agli obiettivi strategici del 14th Five Year Plan.
Fireeye Mandiant non ha potuto osservare direttamente alcuna attività di esfiltrazione dati, pur sottolineando che ci siano evidenze di furto di dati. A quanto riporta il gruppo di ricercatori, le attività di cyberspionaggio portate avanti dalla potenza mondiale dimostrano una certa propensione per il rischio di incidenti diplomatici: queste operazioni, infatti, rappresentano una violazione dell'accordo stretto fra Obama e Xi Jinping.
Dalle indagini risulta che gli aggressori hanno cercato di nascondersi cancellando le tracce della loro presenza ma, almeno in un caso, non hanno rimosso il modulo di persistenza, che consente loro di poter accedere nuovamente al sistema violato.
Acer Nitro V 15, alla prova il notebook gaming essenziale con RTX 4050 Laptop
Stellar Blade: l'action RPG di Shift Up sfoggia uno stile (quasi) unico su PS5 - Recensione
Recensione Zenfone 11 Ultra: il flagship ASUS ritorna a essere un 'padellone'
L'ammasso globulare NGC 6440 in una nuova immagine del telescopio spaziale James Webb
La sonda spaziale NASA ACS3 con vela solare ha comunicato con la Terra correttamente
Esopianeta WASP-43 b: nuovi dettagli grazie al telescopio spaziale James Webb
Thermaltake Astria 600 RGB: un'esplosione di colori per il nuovo dissipatore ad aria
Questo Hard Disk esterno Seagate da 14 TB ha un prezzo da record: meno di 18 euro per terabyte
Prezzi shock Amazon: TV QLED, AiPods a 99€, friggitrice ad aria a 39€, teste termostatiche, iPhone e molto altro!
Verizon Data Breach Investigation Report 2024: il ransomware domina, ma cresce lo sfruttamento delle vulnerabilità
NIU ora ha una filiale italiana: ecco moto elettriche e scooter, prezzi e specifiche
Dal 2 maggio EXPOSED Torino Foto Festival con il supporto Nikon
Lo spin-off multiplayer di Control è alle fasi finali di produzione: tutti gli aggiornamenti da Remedy
BLUETTI AC180: power station portatile 1.800W/1.152Wh in offerta su Amazon a 799€ (prima costava 1.099€)
In questo video Spot balla insieme a un suo simile che assomiglia a un vero cane. Ecco Sparkles
World of Warships: Legends si espande con incrociatori giapponesi e un viaggio nell'antica Roma
Call of Duty: tutte le novità dell'aggiornamento mid-season per Multiplayer, Warzone e Zombi
2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infodomani da malpensa parte il volo per pechino, comperato biglietto di sola andata cosi stai con i tuoi compagni
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".