Gli hacker prendono di mira il governo cinese per la risposta al coronavirus

La società di cybersecurity FireEye ha riferito mercoledì che hacker legati al governo vietnamita stanno presumibilmente prendendo di mira le agenzie governative cinesi per raccogliere informazioni sulla crisi COVID-19.

Secondo FireEye, un gruppo di hacker “APT32”, noto anche come “Ocean Lotus” e ritenuto operante per conto del governo vietnamita, è stato coinvolto in una campagna di spear-phishing che prende di mira membri del Ministero della gestione delle emergenze cinese e del governo di Wuhan, epicentro della pandemia di coronavirus.

“Questi attacchi dimostrano che il virus è una priorità per l’intelligence - tutti stanno mettendo in campo tutto ciò che hanno, e APT32 è ciò che il Vietnam ha”, ha dichiarato FireEye in un post sul blog.

I ricercatori di FireEye credono che APT32 abbia condotto campagne di intrusione contro obiettivi cinesi da almeno gennaio ad aprile 2020.

La società di sicurezza ha notato per la prima volta questa campagna il 6 gennaio 2020, quando APT32 ha inviato un’email con un link di tracciamento incorporato al Ministero della gestione delle emergenze cinese. Il link incorporato conteneva l’indirizzo email della vittima e un codice per segnalare agli attori se l’email fosse stata aperta.

FireEye ha anche scoperto ulteriori URL di tracciamento che rivelavano obiettivi nel governo di Wuhan in Cina e un’email associata anche al Ministero della gestione delle emergenze.

I domini nei link incorporati erano gli stessi utilizzati a dicembre come dominio di comando e controllo per una campagna di phishing METALJACK probabilmente mirata ai paesi del sud-est asiatico.

“APT32 ha probabilmente utilizzato allegati dannosi a tema Covid-19 contro obiettivi di lingua cinese. Anche se non abbiamo scoperto l’intera catena di esecuzione, abbiamo scoperto un loader METALJACK che mostrava un documento di facciata intitolato Covid-19 in lingua cinese mentre lanciava il suo payload”, ha aggiunto il post del blog.

Il codice shell esegue un’indagine di sistema per raccogliere il nome del computer e il nome utente della vittima e poi aggiunge quei valori a una stringa URL. Poi tenta di chiamare l’URL. Se la chiamata ha successo, il malware carica il payload METALJACK in memoria.

“La crisi COVID-19 rappresenta una preoccupazione intensa ed esistenziale per i governi, e l’attuale clima di sfiducia amplifica le incertezze, incoraggiando la raccolta di informazioni su scala che rivaleggia con i conflitti armati. I governi nazionali, statali o provinciali e locali, così come le organizzazioni non governative e le organizzazioni internazionali, sono sotto attacco. Anche la ricerca medica è stata presa di mira”, ha dichiarato FireEye.

“Fino a quando questa crisi non finirà, ci aspettiamo che la spionaggio informatico correlato continui a intensificarsi a livello globale.”

Tuttavia, giovedì, il ministero degli esteri del Vietnam ha reagito al rapporto di FireEye sul sostegno agli hacker legati al governo per prendere di mira le agenzie cinesi come “infondato”.

“L’accusa è infondata”, ha dichiarato il portavoce del ministero degli esteri Ngo Toan Thang ai giornalisti. “Il Vietnam vieta tutti gli attacchi informatici, che devono essere denunciati e trattati severamente dalla legge.”

Thang ha anche aggiunto che il Vietnam è pronto a collaborare con partner internazionali per combattere gli attacchi informatici.