Identificata la backdoor KeyPlug: allarme per le Industrie Italiane

In un'investigazione approfondita, Tinexta Cyber ha scoperto la presenza di una backdoor denominata KeyPlug che ha infettato diverse aziende italiane per mesi. Attribuita al gruppo APT41 della Cina, noto per le sue complesse operazioni cibernetiche, questa minaccia mira sia a raccogliere informazioni sensibili sia a raggiungere guadagni economici. Il gruppo APT41, conosciuto anche con numerosi alias come WICKED PANDA e HOODOO, è rinomato nella comunità della cybersecurity per la sua capacità di attacco trasversale su vari settori industriali. Le analisi hanno rivelato dettagli tecnici preoccupanti riguardanti la resilienza di KeyPlug contro sistemi di difesa avanzati come Firewall, NIDS ed EDR, dimostrando la sofisticazione degli attacchi portati avanti da questo gruppo.

Dettagli tecnici della backdoor su Windows e Linux

Il team di Tinexta Cyber ha analizzato varianti di KeyPlug sia per Microsoft Windows che per Linux. Per Windows, l'infezione inizia con un componente loader scritto in .NET che decifra un file criptato con AES. Il payload risultante, identificato con l'hash SHA256 399bf858d435e26b1487fe5554ff10d85191d81c7ac004d4d9e268c9e042f7bf, mostra una somiglianza diretta con alcune strutture maligne documentate da Mandiant. La variante Linux utilizza VMProtect, complicando ulteriormente l'analisi. Durante l'analisi statica, sono stati trovati riferimenti a UPX, ma le routine di decompressione automatica non hanno avuto successo, costringendo gli analisti a decodificare il payload manualmente attraverso un'analisi più complessa della configurazione del malware.

Possibili connessioni con il leak di I-Soon

Un altro punto di interesse emerso dall'indagine è una possibile connessione tra APT41 e la società cinese I-Soon, coinvolta in un massiccio leak di dati del Ministero della Sicurezza Pubblica cinese. Informazioni riservate, tra cui piani governativi e dati personali degli impiegati, sono state pubblicate su GitHub e Twitter, suscitando grande preoccupazione. Questo incidente ha rivelato potenziali nuove armi nel repertorio di APT41, come Hector, un possibile Remote Administration Tool o una variante della stessa KeyPlug. Hector utilizza il protocollo WSS per comunicare, una scelta insolita tra i malware ma che rafforza le ipotesi di coinvolgimento di APT41, come suggerito anche da Recorded Future.

Conclusioni e implicazioni per la sicurezza industriale

In conclusione, l'ipotesi di un collegamento tra APT41 e gli eventi riguardanti ISOON appare plausibile, sottolineando i gravi rischi dello spionaggio industriale. Luigi Martire, CERT Technical Leader di Tinexta Cyber, afferma che APT41 si distingue per la sofisticazione delle sue operazioni di spionaggio cibernetico globale, con strumenti come KeyPlug, che permette un’intrusione prolungata nei sistemi bersaglio. Le aziende operanti in settori strategici sono particolarmente vulnerabili a tali attacchi, con possibili gravi conseguenze economiche e di reputazione. Analizzare più a fondo la fuga di dati ISOON potrebbe fornire ulteriore chiarezza sul coinvolgimento del gruppo APT41, confermando la necessità di rafforzare le nostre difese cibernetiche per proteggere informazioni critiche.