Un’organizzazione hacker cinese specializzata in ransomware, chiamata “Ghost”, sta sfruttando le vulnerabilità di rete di varie organizzazioni per ottenere accesso ai loro sistemi. L’avviso arriva da diverse agenzie federali statunitensi: «A partire dai primi mesi del 2021, gli operatori di Ghost hanno iniziato ad attaccare vittime i cui servizi esposti a internet eseguivano versioni obsolete di software e firmware», ha dichiarato la Cybersecurity and Infrastructure Security Agency (Cisa) nell’avviso congiunto del 19 febbraio. «Gli operatori di Ghost, situati in Cina, conducono questi attacchi su vasta scala a scopo di lucro».
Gli attacchi hanno preso di mira scuole e università, reti governative, infrastrutture critiche, aziende tecnologiche e manifatturiere, il settore sanitario e diverse piccole e medie imprese.
ATTACCHI SU SCALA GLOBALE
«Questo attacco indiscriminato alle reti contenenti vulnerabilità ha portato alla compromissione di organizzazioni in oltre 70 Paesi, incluse organizzazioni in Cina», hanno poi affermato Cisa, l’Fbi e il Multi-State Information Sharing and Analysis Center nell’avviso.
Gli attori di Ghost sono noti anche con altri nomi, tra cui Cring, Crypt3r, HsHarada, Hello, Wickrme, Phantom, Rapture e Strike.
I criminali utilizzano codice disponibile pubblicamente per sfruttare le “vulnerabilità e esposizioni comuni” dei loro obiettivi e ottenere accesso ai server. Le loro tecniche si basano su falle nei server che eseguono Adobe ColdFusion, Microsoft Exchange e Microsoft SharePoint.
Gli attori della minaccia usano strumenti per «raccogliere password e/o hash di password per facilitare accessi non autorizzati, l’escalation dei privilegi o il movimento laterale verso altri dispositivi della vittima», si legge nell’avviso. Gli aggressori di solito trascorrono solo pochi giorni nelle reti dei loro obiettivi. Le autorità Usa raccomandano di sanare le vulnerabilità di rete note applicando «aggiornamenti di sicurezza tempestivi» a firmware, software e sistemi operativi, di segnalare qualsiasi «attività di rete anomala» e di «mantenere backup di sistema regolari e affidabili, archiviati offline o segmentati dai sistemi sorgente».
PRE-POSIZIONAMENTO DA PARTE DELLA CINA
Le autorità americane avevano già in passato avvertito delle minacce informatiche cinesi contro gli Stati Uniti. I criminali informatici al soldo della dittatura comunista cinese mirano a pre-posizionarsi nelle reti IT per condurre attacchi informatici distruttivi contro le maggiori infrastrutture americane e occidentali, nel caso in cui il Pcc dichiari guerra agli Usa o ai loro alleati.
Volt Typhoon, un’altra organizzazione Hacker al servizio del Partito Comunista Cinese, ha compromesso gli ambienti informatici di diverse infrastrutture in settori come l’energia, i trasporti, le comunicazioni e i sistemi idrici. A novembre, Cisa e l’Fbi hanno dettagliato in questo senso una «campagna di spionaggio informatico su larga scala».
Gli hacker hanno rubato registri delle chiamate dei clienti e comunicazioni private di «un numero limitato di individui coinvolti principalmente in attività governative o politiche». Il deputato Mark Green, presidente della Commissione per la sicurezza interna della Camera, ha dichiarato: «Lo sfruttamento da parte del Partito comunista cinese delle vulnerabilità nei principali fornitori di servizi internet è solo l’ennesimo allarme, mentre Pechino, Teheran e Mosca lavorano per ottenere vantaggi strategici attraverso lo spionaggio informatico, la manipolazione e la distruzione».