Rilevamento degli attacchi APT sponsorizzati dalla Cina: Resistere alla crescente sofisticazione e maturità delle operazioni offensive sostenute dallo stato cinese secondo la ricerca del gruppo Insikt di Recorded Future

Negli ultimi cinque anni, le campagne offensive sostenute dalla nazione cinese sono evolute in minacce più sofisticate, furtive e ben coordinate rispetto agli anni precedenti. Questa trasformazione è caratterizzata dallo sfruttamento intensivo degli zero-day e delle vulnerabilità note in istanze di sicurezza e di rete accessibili pubblicamente. Inoltre, vi è un maggiore focus sulla sicurezza operativa, mirata a ridurre i segni di intrusione, che gli attaccanti ottengono sfruttando una serie di tecniche di elusione della rilevazione avversaria supportate da LOLbins e reti di anonimizzazione. Il cambiamento nelle operazioni offensive sostenute dalla nazione cinese verso un’accresciuta furtività e sicurezza operativa ha dato origine a uno scenario di minacce informatiche più complesso e impegnativo per le organizzazioni in molteplici settori industriali, incluso il settore pubblico, e la comunità globale dei difensori informatici.

Questo articolo fornisce una panoramica su come la Cina sia diventata la principale potenza informatica su scala globale basata sul rapporto dedicato del Insikt Group di Recorded Future and provides defenders with curated detection algorithms to proactively defend against escalating attacks by China-linked state-sponsored malicious actors. 

Rilevare gli attacchi APT supportati dalla nazione cinese coperti dalla ricerca di Recorded Future

Negli ultimi dieci anni, gli attori statali sponsorizzati dalla Cina hanno fatto un notevole cambiamento nella sofisticazione delle loro tattiche, tecniche e procedure offensive (TTP). Secondo l’indagine del Insikt Group, gli hacker cinesi tendono a essere più strategici e furtivi, affidandosi a zero-day e vulnerabilità note in apparecchi accessibili pubblicamente. Inoltre, sfruttano reti di anonimizzazione su larga scala composte da dispositivi IoT compromessi o installazioni di server privati virtuali, insieme a famiglie open-source e exploit per passare inosservati ed evitare l’identificazione. In particolare, si osserva che gli attori affiliati alla Cina usano intelligenza condivisa e infrastrutture offensive scambiando continuamente conoscenze ed esperienze. 

Per agire più rapidamente degli avversari, i difensori informatici dovrebbero collaborare per una migliore valutazione del rischio e una priorizzazione accurata, insieme a strategie di rilevamento e mitigazione pertinenti. Affidati alla piattaforma SOC Prime per una difesa informatica collettiva per ottenere contenuti di rilevamento curati che affrontano i TTP ampiamente utilizzati dai gruppi cinesi sponsorizzati dallo stato.

Regole Sigma per rilevare i TTP comunemente osservati associati ad attività sponsorizzate dallo stato cinese

Inoltre, i professionisti della sicurezza possono esplorare la piattaforma SOC Prime per ottenere un pacchetto di rilevamento dedicato mirato a identificare gli exploit zero-day sfruttati dai gruppi supportati dalla Cina. Basta seguire il link sottostante e approfondire un’ampia lista di regole compatibili con 28 tecnologie SIEM, EDR, XDR e Data Lake, mappate al MITRE ATT&CK framework, e arricchite con CTI e metadati pertinenti.

Regole Sigma per rilevare lo sfruttamento delle vulnerabilità zero-day potenzialmente utilizzato dai sospetti gruppi sponsorizzati dallo stato cinese

Per ottenere l’elenco completo delle regole che affrontano i TTP descritti nel rapporto del Insikt Group di Recorded Future, premi il pulsante Esplora Rilevamenti. I professionisti della sicurezza possono ottenere intelligence approfondita accompagnata da riferimenti ATT&CK e link CTI per ottimizzare l’indagine sulle minacce e potenziare la produttività del SOC.

Esplora Rilevamenti

Analisi della trasformazione dell’attacco APT sponsorizzato dalla Cina basata sulla ricerca del Insikt Group

La Cina ha condotto campagne dannose per anni, prendendo di mira organizzazioni statunitensi e globali in vari settori per raccogliere intelligence e dati sensibili, con attacchi distruttivi legati a gruppi APT sponsorizzati dallo stato come Mustang Panda or APT41.

L’aumento della portata degli attacchi collegati alla Cina e la loro crescente sofisticazione alimentano la necessità di rafforzare la difesa informatica collettiva per resistere alle forze offensive coordinate. In tarda primavera 2023, NSA, CISA e FBA, insieme ad altre autorità statunitensi e internazionali, hanno emesso un avviso congiunto sulla cybersecurity per aumentare la consapevolezza del rafforzamento delle attività malevole attribuite al APT sostenuto dalla nazione cinese noto come Volt Typhoon e mirato all’infrastruttura critica statunitense.

Le operazioni abilitate informaticamente supportate dalla nazione cinese sono condotte principalmente dalle divisioni militari, comprese la Forza di Supporto Strategico dell’Esercito di Liberazione Popolare (PLASSF) e il Ministero della Sicurezza dello Stato (MSS). Nell’ultimo mezzo decennio, i gruppi APT cinesi hanno principalmente rivolto la loro attenzione all’intelligence militare e politica, oltre a spostare il loro focus verso il supporto di obiettivi economici e politici strategici, prendendo di mira minacce interne percepite, comprese minoranze etniche e religiose.

I gruppi di minaccia supportati dalla Cina hanno notevolmente spostato il loro focus, sfruttando le vulnerabilità nei sistemi rivolti al pubblico sin dal 2021. In questo periodo, oltre l’85% delle vulnerabilità zero-day sfruttate dai gruppi sponsorizzati dallo stato cinese sono state trovate in sistemi rivolti al pubblico, inclusi firewall, prodotti VPN aziendali, hypervisor, bilanciatori di carico e prodotti di sicurezza e-mail. Tra le vulnerabilità critiche sfruttate dai gruppi sospettati sostenuti dalla nazione cinese CVE-2023-22515 nel Confluence Data Center e Server, uno Zero-Day RCE in Citrix NetScaler tracciato come CVE-2023-3519, e CVE-2022-42475, una nefasta vulnerabilità zero-day nel Fortinet FortiOS SSL-VPN. Data la continua migrazione delle organizzazioni verso ambienti basati su cloud, è probabile che ci sia un accresciuto interesse nel prendere di mira questi ambienti nel prossimo futuro.

Oltre a utilizzare zero-day e vulnerabilità note, i collettivi di hacking sponsorizzati dallo stato cinese adottano massicciamente reti di anonimizzazione su larga scala per la ricognizione, l’esploit e le infrastrutture C2. Lo spostamento verso un’attività avversaria più sofisticata e furtiva comporta l’uso di famiglie di malware open-source ed exploit, nonché campioni di malware personalizzati per software rivolto al pubblico per mantenere la persistenza.

Come misure di mitigazione potenziali fornite dai ricercatori del Insikt Group di Recorded Future , si raccomanda alle organizzazioni e agli utenti individuali di ridurre l’esposizione alle vulnerabilità con patch tempestive e di dare continuamente priorità alle vulnerabilità critiche, in particolare ai difetti di sicurezza RCE in entità rivolte al pubblico. Seguire le migliori pratiche di segmentazione della rete, abilitare l’autenticazione multi-fattore e mantenere costantemente aggiornati su aggiornamenti e linee guida per mitigare i TTP comuni relativi all’attività APT supportata dalla Cina sono anche essenziali per i difensori per minimizzare i rischi di intrusione.

Alla luce dell’aumento della sofisticazione delle capacità avversarie cinesi supportate dal governo del paese nell’ultimo mezzo decennio, è altamente probabile che la Cina fortifichi la sua posizione nel fronte cyber potenziando la sua guerra informatica ed espandendo la portata degli attacchi. Affidarsi a SOC Prime e raggiungere oltre 500+ algoritmi di rilevamento curati contro attacchi APT attuali ed emergenti di qualsiasi portata e scala per rafforzare continuamente la tua resilienza informatica.