Arrestato in Italia un hacker cinese legato al gruppo Silk Typhoon

[nuke]

Il 33enne cinese Xu Zewei, ricercato da anni dal governo statunitense per attività di cyberspionaggio su larga scala, è stato arrestato nei giorni scorsi dalla polizia italiana all’aeroporto di Malpensa, mentre cercava di entrare nel Paese. L’uomo, secondo le autorità USA, è uno degli attori chiave del gruppo APT noto come Silk Typhoon, precedentemente tracciato anche come APT27, Emissary Panda e UNC5221. Un contractor al servizio del Ministero della Sicurezza di Stato cinese Stando all’atto d’accusa federale USA (un documento di nove capi d’imputazione), Xu avrebbe agito come contractor privato, in collaborazione con Zhang Yu (ancora latitante), su incarico diretto del Ministero della Sicurezza di Stato cinese. Le attività sarebbero iniziate nel febbraio 2020, in piena pandemia, e si sarebbero concentrate sul furto di informazioni sensibili, tra cui ricerche sui vaccini per il COVID-19 sviluppate presso l’Università del Texas. Xu, all’epoca direttore generale della società Powerock Network di Shanghai, è accusato di aver orchestrato una massiccia campagna di compromissione contro sistemi governativi, universitari e privati in USA ed Europa. La strategia: sfruttare vulnerabilità nei server Microsoft Exchange, installare web shell personalizzate e mantenere accessi remoti duraturi. Indicatori tecnici: web shell errorEEE.aspx e vulnerabilità zero-day Uno dei tratti distintivi del modus operandi di Xu e del suo gruppo è stata l’installazione di web shell ASPX, tra cui: errorEEE.aspx Questa, una shell dropper altamente obfuscata, è stata identificata da Microsoft come parte dell’ondata di attacchi noti inizialmente con il nome Hafnium (ora Silk Typhoon) nel marzo 2021. Gli attaccanti hanno sfruttato quattro vulnerabilità zero-day in Microsoft Exchange Server:

• CVE-2021-26855: SSRF
• CVE-2021-26857: RCE via deserialization
• CVE-2021-26858 e CVE-2021-27065: Arbitrary file write

Microsoft ha rilasciato patch urgenti, ma molte infrastrutture sono rimaste compromesse per mesi. Le shell hanno permesso a Xu e soci di muoversi lateralmente, esfiltrare dati e persistere nella rete delle vittime anche dopo l’applicazione delle patch. Vittime eccellenti e interesse geopolitico Tra le vittime note:

• Covington & Burling LLP, un prestigioso studio legale USA. Gli attaccanti hanno sottratto documenti relativi a quasi 300 clienti, inclusi dossier su questioni politiche sensibili in vista dell’insediamento dell’amministrazione Biden.
• Ricercatori biofarmaceutici, con l’intento di sottrarre proprietà intellettuale su vaccini e terapie.

L’obiettivo? Informazioni strategiche su politiche USA, tecnologie emergenti e decisioni geopolitiche. Il contesto: Silk Typhoon e l’ecosistema APT cinese Silk Typhoon è solo uno dei numerosi gruppi APT attribuiti alla Cina, spesso sostenuti da aziende private che lavorano in regime “semi-ufficiale” per il governo. Secondo Microsoft Threat Intelligence, il gruppo si distingue per:

• Capacità di sfruttare rapidamente exploit zero-day
• Uso di backdoor leggere come China Chopper
• Campagne di intrusione supply chain e targeting infrastrutturale

Ecco alcuni degli altri gruppi noti: Nome Alias Attività principali Salt Typhoon – Compromissione di telecom globali, uso di exploit Cisco Volt Typhoon – Accesso a router privati, targeting infrastrutture critiche USA Flax Typhoon – Operazioni in Taiwan, creazione botnet basata su Mirai Questi gruppi, spesso interconnessi, combinano attività d’intelligence militare e furto di proprietà intellettuale con lo scopo di anticipare le mosse geopolitiche e rafforzare la supremazia tecnologica cinese. L’Italia nella cyber-geopolitica globale L’arresto di Xu in Italia è un evento che segna un precedente importante: l’utilizzo del nostro Paese come snodo strategico (o punto debole) nella movimentazione di soggetti coinvolti nel cyberspionaggio globale. Questo implica un potenziale coinvolgimento italiano in:

• Processi di estradizione verso gli USA
• Possibili retaliation diplomatiche
• Nuove misure di cooperazione internazionale contro le minacce avanzate (APT)

“Gli operatori di rete dovrebbero considerare la possibilità di essere già compromessi e agire di conseguenza”, affermava nel 2021 la portavoce della Casa Bianca Jen Psaki. Quel consiglio vale ancora oggi. L'articolo Arrestato in Italia un hacker cinese legato al gruppo Silk Typhoon proviene da (in)sicurezza digitale.

Source: https://insicurezzadigitale.com/arresta ... k-typhoon/