Volt Typhoon: l'emergente minaccia del cyber-spionaggio cinese

È stato recentemente scoperto un nuovo attore statale cinese nel panorama della cyber-guerra, noto come Volt Typhoon, attivo dal 2020. Questo gruppo di hacker ha mostrato tecniche operative inedite per mantenere l'accesso remoto ai suoi obiettivi. Le scoperte provengono da CrowdStrike, che tiene sotto controllo il nemico con il nome di Vanguard Panda. Volt Typhoon, noto anche come Bronze Silhouette, è un gruppo di cyber spionaggio cinese, implicato in operazioni di intrusione di rete contro il governo degli Stati Uniti, la difesa e altre organizzazioni di infrastrutture critiche.

Le tecniche di attacco di Volt Typhoon: sicurezza operativa e strumenti open-source

Una dettagliata analisi delle modalità operative del gruppo ha rivelato una forte enfasi sulla sicurezza operativa, con l'uso accurato di un ampio set di strumenti open-source contro un numero limitato di vittime per perpetrare atti malevoli di lungo termine. Volt Typhoon è stato descritto come un gruppo di minacce che "predilige le web shell per la persistenza e si affida a brevi periodi di attività, principalmente coinvolgendo binari living-off-the-land, per raggiungere i suoi obiettivi".

Attacco fallito e il modus operandi di Vanguard Panda

In un incidente non riuscito mirato a un cliente non specificato, l'attore ha preso di mira il servizio Zoho ManageEngine ADSelfService Plus in esecuzione su un server Apache Tomcat per innescare l'esecuzione di comandi sospetti riguardanti l'enumerazione dei processi e la connettività di rete, tra gli altri. L'analisi di CrowdStrike suggerisce che le azioni di Vanguard Panda denotano una familiarità con l'ambiente target, grazie alla rapida successione dei loro comandi, così come la disponibilità di hostnames interni specifici e indirizzi IP da pingare, condivisioni remote da montare e credenziali in chiaro da utilizzare per WMI.

Scoperte forensi e tentativo di occultamento delle tracce

Un esame più approfondito dei log di accesso di Tomcat ha rivelato diverse richieste HTTP POST a /html/promotion/selfsdp.jspx, una web shell camuffata come soluzione di sicurezza d'identità legittima per eludere la rilevazione. Si ritiene che la web shell sia stata dispiegata quasi sei mesi prima dell'attività descritta, indicativa di un esteso lavoro di ricognizione preliminare della rete target. Anche se non è immediatamente chiaro come Vanguard Panda sia riuscito a violare l'ambiente ManageEngine, tutti i segnali indicano lo sfruttamento di CVE-2021-40539, un critico difetto di bypass dell'autenticazione con esecuzione remota del codice. Sospettato di aver cancellato gli artefatti e manomesso i log di accesso per oscurare il percorso forense, l'attore ha commesso un errore evidente non prendendo in considerazione i file sorgente Java e i file di classi compilate generati durante l'attacco.