Secondo un’indagine di Kaspersky Lab sono stati rilevati casi di cyberspionaggio che avevano come obiettivo governi e organizzazioni civili e militari dei Paesi che si affacciano sul Mar Cinese Meridionale
L’indagine di Kaspersky Lab descrive le attività di un gruppo criminale chiamato Naikon che si è infiltrato da cinque anni all’interno delle organizzazioni nazionali dei Paesi del Mar Cinese Meridionale. Hanno creato un’infrastruttura di spionaggio all’interno dei confini di ciascun Paese preso di mira, che aveva come scopo principale quello di creare connessioni in tempo reale e data mining e realizzato strumenti di spionaggio in grado di eseguire fino a 48 comandi.
Gli esperti hanno scoperto che il gruppo Naikon utilizza come lingua principale il cinese e prende di mira agenzie governative civili e militari in paesi quali Filippine, Malesia, Cambogia, Indonesia, Vietnam, Myanmar, Singapore e Nepal, Thailandia, Laos e Cina.
Di seguito le caratteristiche identificate da Kaspersky Lab legate alle operazioni del gruppo Naikon:
● Ogni paese ha designato un operatore il cui compito è quello di sfruttare gli aspetti culturali di un determinate Paese, come ad esempio la tendenza ad usare gli account email personali in ambito lavorativo;
● Installazione di un’infrastruttura (server proxy) all’interno dei confini di un Paese per garantire il supporto giornaliero delle connessioni in tempo reale ed estrazione dei dati;
● Almeno 5 anni di attività volta ad attacchi geopolitici di alto profilo e di elevata intensità;
● Codice indipendente dalla piattaforma e capacità di intercettare l’intero traffico di rete;
● Utility di amministrazione da remoto in grado di eseguire 48 comandi, compresi i comandi per ottenere una inventory completa, per scaricare e caricare dati, installare moduli add-on o lavorare con una linea di comando.
Il gruppo di cyberspionaggio Naikon è stato menzionato per la prima volta da Kaspersky Lab in un report diffuso recentemente, “The Chronicles of the Hellsing APT: the Empire Strikes Back”, in cui ha giocato un ruolo chiave nella scoperta di minacce APT. Hellsing è un altro gruppo di criminali che ha deciso di vendicarsi quando è stato colpito da Naikon.
“I criminali che stanno dietro alle azioni di Naikon sono riusciti a costruire un’infrastruttura molto flessibile che può essere installata in qualsiasi Paese tra quelli presi di mira e che permette il tunneling delle informazioni dai sistemi delle vittime al centro di comando. Nel momento in cui i criminali dovessero decidere di colpire un diverso tipo di vittime o puntare ad un altro Paese sarebbe sufficiente per loro installare una nuova connessione. Ciò che rende ancora più semplice il lavoro del gruppo di spionaggio Naikon è avere a disposizione operatori dedicati ad un particolare gruppo di vittime,” – afferma Kurt Baumgartner, Principal Security Researcher, the GreAT team, di Kaspersky Lab.
Gli obiettivi di Naikon vengono colpiti utilizzando tecniche di spear-phishing tradizionali, vale a dire attraverso email contenenti allegati potenzialmente di interesse per la vittima. L’allegato ha le sembianze di un documento Word ma in realtà si tratta di un file eseguibile con una doppia estensione.
Di seguito alcuni consigli per le organizzazioni su come proteggersi da Naikon:
• Non aprire allegati e link provenienti da mittenti sconosciuti
• Usare una soluzione anti-malware avanzata
• Se l’affidabilità dell’allegato non è verificabile è consigliabile aprirlo in una sandbox
• Assicurarsi di avere una versione aggiornata del sistema operativo con le patch installate
Kaspersky Lab protegge gli utenti dalle minacce attraverso la funzione Automatic Exploit Prevention che permette di rilevare componenti Naikon quali: Exploit.MSWord.CVE-2012-0158, Exploit.MSWord.Agent, Backdoor.Win32.MsnMM, Trojan.Win32.Agent e Backdoor.Win32.Agent.