Allarme Cyber: Dentro la Guerra Digitale di Storm-0940 e CovertNetwork-1658

Allarme Cyber: Dentro la Guerra Digitale di Storm-0940 e CovertNetwork-1658

Crescita preoccupante delle minacce cibernetiche: Focus su Storm-0940 e CovertNetwork-1658

Recentemente, il panorama della sicurezza informatica ha registrato un significativo aumento delle attività malevole orchestrate da un noto attore di minacce cinese, denominato Storm-0940. Questo gruppo ha messo in mostra avanzate capacità nel penetrare reti e dispositivi sfruttando vulnerabilità con tecniche di alto livello. L’analisi condotta da esperti del settore ha evidenziato l’uso, da parte di Storm-0940, di credenziali acquisite attraverso tecnica conosciuta come password spray, portata avanti mediante una macchina ben oliata: la rete CovertNetwork-1658.

La rete CovertNetwork-1658, rilevata e monitorata fin dal mese di agosto 2023, è costruita in gran parte su router SOHO vulnerabili, ed in particolare su dispositivi TP-Link. Questi ultimi sono stati sfruttati come punti di ingresso per camuffare l’identità degli aggressori, consentendo a questi ultimi di tentare l’accesso a numerosi account, mantenendo basso il profilo e riducendo i rischi di essere scoperti. La tattica astuta dell’attore minaccioso include l’utilizzo limitato di tentativi di accesso per account, circa uno al giorno, complicando così notevolmente il lavoro di rilevamento delle intrusioni.

Dinamiche e tecniche d’attacco

Storm-0940, attivo dal 2021, si è focalizzato principalmente su obiettivi in Nord America ed Europa, prendendo di mira settori critici quali think tank, enti governativi, ONG e aziende nei settori legali e della difesa. Il primo accesso ai sistemi viene spesso acquisito tramite password spray o sfruttando vulnerabilità in applicazioni e servizi. Con l’accesso garantito, il gruppo procede con la scansione di reti e il furto di credenziali, facilitando così movimenti laterali all’interno delle infrastrutture compromesse.

L’approfondimento dell’analisi rivela che, dopo aver compromesso i router, gli aggressori procedono scaricando e implementando server e strumenti quali Telnet e backdoor “xlogin”, e installando nel processo server SOCKS5 per far apparire i tentativi di accesso come provenienti dai dispositivi infetti. Rilevazioni indicano che la rete CovertNetwork-1658 ha potuto contare su circa 8 mila dispositivi attivi simultaneamente, con una parte significativa di questi impegnata attivamente nelle campagne di password spraying.

Gli sforzi attuali di Microsoft, inclusi il monitoraggio e la {
>fornitura di raccomandazioni<}
(https://www.microsoft.com/en-us/security/blog/2024/10/31/chinese-threat-actor-storm-0940-uses-credentials-from-password-spray-attacks-from-a-covert-network/), sottolineano l’importanza dell’adozione di strategie come l’autenticazione a più fattori (MFA) e l’attivazione di metodi di autenticazione più sicuri, come Windows Hello o FIDO. Tali misure si rivelano essenziali per contrastare efficacemente e ridurre il rischio legato a tali minacce.

Conclusione e Riflessioni Future

La lotta contro gli attori di minacce come Storm-0940 non è solamente una questione di tecnologia avanzata, ma anche di strategia e collaborazione. L’abilità degli aggressori di adattare e modificare le loro metodologie in risposta alle difese implementate richiede un impegno costante e innovativo da parte delle organizzazioni bersaglio. Si consiglia pertanto un monitoraggio continuo e l’implementazione di politiche di sicurezza robuste e versatili che possano adattarsi rapidamente al cambiamento delle tattiche offensive. Il caso di Storm-0940 e CovertNetwork-1658 dimostra chiaramente quanto sia cruciale anticipare e neutralizzare queste minacce prima che possano manifestarsi completamente.

Cyber Net Now

Cyber Net Now è una rete di professionisti che volontariamente apportano il loro contributo alla divulgazione di notizie e tematiche del mondo della cybersecurity, della sicurezza informatica e della tecnologia, specialmente in Italia.

CATEGORIES
Share This