Questo articolo è stato pubblicato da questo sito
Nuovo allarme dalle forze dell’ordine e dalle agenzie di sicurezza giapponesi e statunitensi, che segnalano l’attività criminale della cybergang cinese BlackTech, che sta attaccando le filiali internazionali di numerose aziende forzandone l’accesso alle reti. La denuncia arriva da FBI, NSA, CISA e dalle giapponesi NISC e NPA, che insieme hanno fatto luce sull’attività del gruppo cybercriminale supportato dal governo cinese, già noto per aver perpetrato azioni di spionaggio informatico ai danni di entità giapponesi, taiwanesi e con sede a Hong Kong a partire dal 2010. Stando a quanto riportato dalle forze dell’ordine, infatti, i cybercriminali sono soliti utilizzare un malware per creare backdoor – ossia una porta di accesso diretto a un sistema informatico – sui dispositivi di rete delle vittime, così da poter accedere liberamente ai dati che contengono.
Una volta che hanno attaccato il primo dispositivo di una rete aziendale, i criminali di BlackTech cercano di ottenere “l’accesso come amministratore ai dispositivi periferici della rete”, così da assicurarsi una presenza costante al suo interno. E come se non bastasse, “prendono di mira i router delle filiali – in genere apparecchi più piccoli utilizzati nelle filiali remote per connettersi a una sede aziendale – e poi abusano della relazione di fiducia dei router delle filiali all’interno della rete aziendale presa di mira”. In questo modo i criminali si assicurano l’accesso a tutti i dati dell’azienda, nella sua sede principale e nelle sue filiali sparse per il mondo.
Una strategia d’attacco ben pensata e coordinata, che sembra sfruttare soprattutto i router Cisco per assicurarsi di aprire backdoor nei dispositivi di rete aziendali, aggirando le misure di sicurezza e permettendo così ai criminali di muoversi all’interno della rete a proprio piacimento. Dal canto suo, Cisco ha pubblicato un avviso di sicurezza sottolineando che non vi è alcuna indicazione che la cybergang BlackTech sfrutti una vulnerabilità nei suoi prodotti o un certificato rubato per firmare il suo malware. Eppure, nonostante questo, negli ultimi mesi sono cresciuti a dismisura i cyberattacchi avvenuti attraverso non solo i router di Cisco, ma anche di Fortinet, TP-Link e SonicWall. E questo, come si può facilmente immaginare, non fa altro che preoccupare le agenzie di sicurezza di tutto il mondo, particolarmente attente al tema dello spionaggio cinese.
Proprio per questo, le forze dell’ordine statunitensi e giapponesi hanno invitato le aziende a prestare particolare attenzione alla propria salvaguardia, supervisionando il traffico in entrata/uscita sui dispositivi, utilizzando indirizzi IP specifici per gli amministratori di rete, cercando di rilevare anomalie come riavvii imprevisti o modifiche alla configurazione, aggiornando le patch di sicurezza e via dicendo. Solo in questo modo, infatti, sarà possibile tenere lontani dai propri dati i cybercriminali di BlackTech.