Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Casa
Jun 11, 2024
Taiwan nel mirino della RPC
I ricercatori hanno dichiarato a Tech Monitor che la campagna Flax Typhoon mostra un passaggio dallo spionaggio informatico alle “operazioni di informazione”. Di Claudia Glover Prove di una campagna di cyberspionaggio condotta da cinesi
I ricercatori hanno dichiarato a Tech Monitor che la campagna Flax Typhoon mostra un passaggio dallo spionaggio informatico alle “operazioni di informazione”.
Di Claudia Glover
Le prove di una campagna di spionaggio informatico da parte della banda di criminali informatici Flax Typhoon, legata al governo cinese, sono state scoperte in dozzine di organizzazioni a Taiwan, ha avvertito Microsoft Threat Intelligence. L’operazione è attiva dalla metà del 2021.
Microsoft ha avvertito che le aziende dovrebbero prestare attenzione alle tecniche utilizzate da Flax Typhoon, poiché gli indicatori di compromissione da parte del gruppo di criminali informatici sono così comuni all'interno di un sistema da essere facilmente trascurati. I ricercatori hanno inoltre notato che gli attacchi Flax Typhoon mostrano un tentativo di negazione plausibile da parte delle cybergang sostenute dallo stato collegate al governo cinese, insieme a uno spostamento dell’enfasi dallo spionaggio informatico di base verso “operazioni di informazione” più complesse.
La Repubblica popolare cinese continentale considera Taiwan una provincia rinnegata e ha già lanciato campagne di cyber-spionaggio e DDoS contro la nazione insulare. Secondo Microsoft, l'obiettivo della campagna di Flax Typhoon sembra non solo ottenere l'accesso a dati sensibili, ma anche "mantenere l'accesso alle organizzazioni di un'ampia gamma di settori il più a lungo possibile".
Le industrie prese di mira dal Flax Typhoon includono l'industria manifatturiera, l'istruzione, le organizzazioni di tecnologia dell'informazione e le agenzie governative di Taiwan. Microsoft rileva inoltre che sono state prese di mira aziende in Nord America, Sud-Est asiatico e Africa.
"Flax Typhoon ottiene e mantiene l'accesso a lungo termine alle reti delle organizzazioni taiwanesi con un uso minimo di malware, facendo affidamento su strumenti integrati nel sistema operativo, insieme ad alcuni software normalmente innocui per rimanere tranquillamente in queste reti", si legge nel post. "Microsoft non ha osservato Flax Typhoon utilizzare questo accesso per condurre ulteriori azioni."
L'azienda ha spiegato che sta scegliendo di evidenziare questa attività ora per esprimere preoccupazione per il potenziale di ulteriore impatto sui propri clienti. "Sebbene la nostra visibilità su queste minacce ci abbia dato la possibilità di implementare rilevamenti per i nostri clienti, la mancanza di visibilità su altre parti dell'attività dell'attore ci ha costretto a sensibilizzare la comunità più ampia per ulteriori indagini e protezioni nell'ecosistema della sicurezza", si legge nel blog dice.
Attacchi come questi indicano un allontanamento dallo spionaggio informatico cinese del passato, spiega Alan Liska, responsabile del Computer Emergency Response Team presso la società di sicurezza Recorded Future. "Quello a cui stiamo assistendo è un'espansione delle operazioni di informazione cinesi, perché c'è ancora lo spionaggio tradizionale, ma si vede anche il lato più aggressivo", ha detto a Tech Monitor.
A ciò si aggiunge un tentativo di negabilità plausibile all'interno delle tecniche di Flax Typhoon, continua. "Come puoi vedere dal rapporto, stanno utilizzando molti strumenti standardizzati, facilmente disponibili e utilizzabili da qualsiasi criminale informatico, il che dà [alla RPC] la possibilità di prendere una certa distanza da questi attacchi", afferma Liska .
La notizia di questa campagna arriva sulla scia di un altro gruppo cinese di criminalità informatica chiamato Volt Typhoon, che ha suscitato allarme a livello internazionale quando il suo malware è stato rilevato in diversi elementi delle infrastrutture militari statunitensi. A maggio, le agenzie di sicurezza informatica dell’alleanza di intelligence Five Eyes hanno anche pubblicato un avviso in cui avvisavano che Volt Typhoon potrebbe rimanere inosservato in reti cruciali per lunghi periodi di tempo.
Jen Easterly, attuale capo della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, ha sottolineato che l'attacco Volt Typhoon e altri simili indicano un cambiamento nelle tattiche informatiche cinesi dallo spionaggio all'aggressione.
"Stiamo parlando di decenni di furto di proprietà intellettuale e del più grande trasferimento di ricchezza intellettuale degli ultimi decenni", ha affermato. Tuttavia, l’attenzione attuale è “meno sullo spionaggio e più sul disordine e la distruzione”, ha detto ai delegati all’Aspen Institute of Culture Summit di giugno.