Negli ultimi due mesi, Check Point Research (CPR), la divisione di Threat Intelligence di Check Point® Software Technologies, ha osservato diversi gruppi hacker APT che hanno cercato di sfruttare il conflitto tra Russia e Ucraina e le sanzioni contro le aziende russe come esca per operazioni di spionaggio.
L’attività è stata attribuita a un hacker cinese, con possibili collegamenti a Stone Panda (alias APT10), un hacker sofisticato ed esperto sostenuto da uno Stato nazionale, e a Mustang Panda, un altro gruppo di spionaggio informatico in Cina.
Gli hacker utilizzano nuovi strumenti: un sofisticato loader multistrato e una backdoor denominata SPINNER. Questi strumenti utilizzano tecniche avanzate di evasione e anti-analisi, come caricatori in-memory multistrato e offuscamenti a livello di compilatore.
Campagna di spear-phishing
Per definizione, lo spear-phishing è un attacco phishing molto specifico. Come ogni altro attacco di phishing, può essere effettuato attraverso una serie di mezzi di comunicazione diversi – e-mail, SMS, social media, ecc. – ma le e-mail di spear-phishing sono le più comuni. Opera in modo molto simile agli altri attacchi di phishing, ma il processo di creazione del messaggio è leggermente diverso.
Il 23 marzo, alcune e-mail dannose hanno preso di mira diversi istituti di ricerca sulla difesa con sede in Russia. Le e-mail, che avevano come oggetto “List of <target institute name> persons under US sanctions for invading Ukraine”, contenevano un link a un sito controllato dall’aggressore che imitava il Ministero della Salute della Russia minzdravros[.]com e un documento dannoso allegato. Tutti i documenti allegati sono stati realizzati in modo da sembrare documenti ufficiali del Ministero della Salute russo, con il suo simbolo e titolo ufficiale.
Gli istituti di ricerca sulla difesa che CPR ha identificato come obiettivi di questo attacco appartengono a una holding del conglomerato statale russo della difesa Rostec Corporation. Si tratta della più grande holding russa nel settore della radioelettronica e gli istituti di ricerca presi di mira si occupano principalmente dello sviluppo e della produzione di sistemi di guerra elettronica, di apparecchiature radioelettroniche militari di bordo, di stazioni radar aeree e di mezzi di identificazione statale.
Questa campagna si basa su tecniche di social engineering e in particolare sullo spear-phishing. Lo scopo dell’operazione di spionaggio è probabilmente quello di raccogliere informazioni da obiettivi all’interno dell’industria della difesa russa ad alta tecnologia per sostenere la Cina nel suo progresso tecnologico e nel suo piano a lungo termine.