In collaborazione con il Centro Australiano per la Sicurezza Informatica (ACSC), la CISA ha rilasciato un advisory sulle attività del gruppo sponsorizzato dalla Cina, responsabile di numerose campagne di cyberspionaggio contro organizzazioni in vari paesi (tra cui Stati Uniti e Australia).
Prodotto in partnership con diverse agenzie di sicurezza internazionali – tra cui la National Security Agency (NSA), il Federal Bureau of Investigation (FBI), il National Cyber Security Centre (NCSC-UK), il Canadian Centre for Cyber Security (CCCS) e altre ancora –, l’advisory sulle attività del collettivo APT40, sponsorizzato dallo Stato cinese, è un documento particolarmente utile. Pubblicato dall’Agenzia per la Sicurezza informatica e delle infrastrutture degli Usa sul proprio sito e dal Centro Australiano per la Sicurezza Informatica (ACSC), che ha fatto altrettanto sul proprio portale, “APT40 Advisory” fornisce una serie di esempi dettagliati di come il gruppo – conosciuto anche con i nomi di Leviathan, Bronze Mohawk, Kryptonite Panda, Gingham Typhoon – abbia compromesso reti in passato, ricorrendo a una serie di tecniche avanzate per acquisire e mantenere l’accesso.
Casi di studio, come quando APT40 – responsabile di varie campagne di cyber spionaggio contro organizzazioni in tanti paesi, tra cui appunto gli Stati Uniti e l’Australia – ha fatto leva su una vulnerabilità in un portale di accesso remoto, acquisendo centinaia di combinazioni uniche di credenziali. Oppure nel momento in cui ha compromesso una rete mediante una vulnerabilità all’interno di un’applicazione web.
Pechino rigetta le accuse degli Stati Uniti
La stretta collaborazione tra CISA, ACSC e altre agenzie di sicurezza internazionali ha portato dunque alla pubblicazione di un advisory che dettaglia sia le tecniche sia le tattiche utilizzate da APT40. A questo punto si attende una “risposta” della Cina, che già in passato ha espresso “forte opposizione” alle accuse dall’estero contro “i cosiddetti cyberattacchi”, considerandole “del tutto inventate e calunnie nocive”.
Ad ogni modo, nonostante Pechino non perderà tempo a rigettare qualsivoglia accusa di cyberattacchi e operazioni di spionaggio, quanto si evince dal rapporto su APT40 – così come dal report congiunto rilasciato da FBI, CISA e NSA lo scorso 7 febbraio – genera particolare apprensione su nuovi pericoli che potrebbero derivare. Già in passato l’intelligence statunitense avrebbe identificato una rete di infiltrazioni cinesi, all’interno di centinaia di dispositivi, nelle infrastrutture dei più importanti servizi del paese. Il pericolo va ascritto a Volt Typhoon, un cyber attore sponsorizzato dallo stato cinese volto allo spionaggio e alla raccolta di informazioni.
Gli Usa dichiarano guerra ai ransomware
Riconoscendo la minaccia persistente costituita dagli attacchi ransomware per le organizzazioni di tutte le dimensioni, a marzo 2023 l’Agenzia per la Sicurezza informatica e delle infrastrutture degli Stati Uniti ha annunciato l’istituzione del Ransomware Vulnerability Warning Pilot (RVWP) autorizzato dal Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) del 2022.
Attraverso il RVWP, la CISA ha individuato le vulnerabilità comunemente associate all’utilizzo di ransomware conosciuti e avvisato le entità delle infrastrutture critiche su tali vulnerabilità, permettendo la mitigazione prima del verificarsi di un incidente ransomware.