Hacker cinesi spiano le comunicazioni via satellite?

Symantec ha scoperto una campagna di spionaggio contro aziende che operano nel settore delle comunicazioni via satellite, operatori telefonici e contractor della difesa negli Stati Uniti e alcuni paesi del Sudest asiatico. Secondo la software house californiana, gli attacchi sarebbero stati effettuati dal gruppo Thrip con base in Cina.

Per identificare la tipologia di attacco, Symantec ha utilizzato sofisticati strumenti che sfruttano l’intelligenza artificiale per elaborare i dati della telemetria. Invece di malware specifici, il gruppo cinese ha impiegato tool legittimi e funzionalità di Windows, rendendo difficile scoprire gli attacchi con i metodi tradizionali. Symantec ha scoperto che i membri di Thrip sono particolarmente interessati alle aziende che gestiscono le comunicazioni satellitari. Al momento si tratta solo di spionaggio, ma non sono da escludere attacchi più aggressivi in futuro (interruzione delle comunicazioni).

Altri target sono i computer che eseguono il software MapXtreme GIS per applicazioni geospaziali, operatori telefonici e contractor del Ministero della Difesa statunitense. Oltre a malware custom, gli hacker hanno usato i tool PsExec, PowerShell, Mimikatz, WinSCP e LogMeIn. PsExec è stato usato per eseguire processi sul sistema della vittima, PowerShell per scaricare il malware sul computer, Mimikatz per recuperare le password, WinSCP per rubare i dati e LogMeIn per accedere da remoto.

L’obiettivo principale degli attacchi è rubare informazioni sensibili. La campagna di spionaggio è partita da computer che si trovano in Cina, mentre i bersagli risiedono negli Stati Uniti e nel Sudest asiatico. I software di Symantec rilevano e bloccano i malware, proteggendo sistema operativo e rete.