Questo articolo è stato pubblicato da questo sito
Le aziende statunitensi potrebbero pagare le conseguenze di un malware cinese, ovvero di una campagna di hacking legata alla Cina, almeno per i prossimi due anni: questo l’avvertimento del Threat Intelligence Group di Google, team di professionisti specializzati nella sicurezza informatica che da qualche tempo “sta monitorando l’attività del malware Brickstorm”, utilizzato dai cybercriminali “per mantenere un accesso persistente alle organizzazioni vittime negli Stati Uniti”. Secondo quanto riferito da Google, a partire da marzo 2025 alcuni gruppi cybercriminali legati alla Cina – tra cui uno identificato come UNC5221 – hanno colpito con attacchi sofisticati le aziende e le organizzazioni di settori molto diversi tra loro: dai servizi legali ai fornitori di Software-as-a-Service, dalle compagnie tecnologiche a quelle di Business Process Outsourcing (BPO).
Gli obiettivi di questi attacchi, come è facile intuire, sono molteplici. Non si tratta solo di acquisire informazioni segrete sulla politica degli Stati Uniti, ma anche dati su alcune delle società clienti dei fornitori di terze parti e di identificare lacune nella sicurezza dei sistemi informatici aziendali per mettere a punto nuovi cyberattacchi. “Il valore di questi obiettivi va oltre le tipiche missioni di spionaggio – si legge nella nota del Threat Intelligence Group –, fornendo potenzialmente dati per alimentare lo sviluppo di attacchi zero-day e stabilendo punti cardine per un accesso più ampio alle vittime a valle”.
Il malware Brickstorm e le tecniche di attacco
Una capacità incredibile nel passare inosservati: questo il punto di forza dei cybercriminali legati alla Cina, che in questi mesi hanno preso di mira le aziende statunitensi. Per rimanere invisibili, secondo quanto riferito dai ricercatori di Google, i criminali hanno distribuito il malware Brickstorm in sistemi non grado di eseguire il rilevamento e la risposta degli endpoint, ossia il monitoraggio continuo e costante dei dispositivi connessi alla Rete. Questo significa che a essere colpiti sono gli apparecchi di rete come router, firewall e gateway di sicurezza email, che permettono ai criminali di distribuire il malware in modo del tutto indisturbato. Identificarne la presenza, quindi, diventa pressoché impossibile, o quasi. Per risolvere il problema Mandiant, una società costola di Google impegnata nella cybersecurity, ha rilasciato uno script scanner “che può essere eseguito su dispositivi e altri sistemi basati su Linux o BSD”, così da permettere la rilevazione del malware.
“Man mano che sempre più aziende scansionano i loro sistemi, prevediamo che sentiremo parlare di questa campagna per i prossimi uno o due anni – ha commentato il Chief Technology Officer di Mandiant Consulting Charles Carmakal a The Register -. Non abbiamo dubbi che le aziende utilizzeranno questo strumento e troveranno compromissioni dei sistemi attive o storiche”. Per i prossimi dodici, diciotto o ventiquattro mesi, le compagnie colpite dagli attacchi dei cybercriminali cinesi potrebbero rilevare il malware e doverne contenere i danni, verificando che non ci siano state fughe di dati o che queste non abbiano creato problemi alla privacy degli utenti.
