I ricercatori di Cybereason hanno scoperto una massiccia campagna di attacchi – soprannominata Operazione CuckooBees – che per anni ha operato inosservata sottraendo proprietà intellettuale e dati sensibili a diverse aziende.
La campagna, elusiva e sofisticata, operava inosservata almeno dal 2019 con l’obiettivo di rubare informazioni proprietarie intellettuali da aziende tecnologiche e manifatturiere principalmente nell’Asia orientale, nell’Europa occidentale e nel nord America.
Il vettore di infezione utilizzato per compromettere i sistemi aziendali consisteva nello sfruttamento di vulnerabilità di una popolare piattaforma ERP, alcune note e altre sconosciute al momento dello sfruttamento. Veniva quindi stabilita la persistenza con una Webshell, sfruttando il protocollo WinRM, un rootkit e i servizi IKEEXT e PrintNotify di Windows, dopodiché iniziava la fase di “ricognizione”, ossia la raccolta di varie informazioni sul server ERP e la rete interna.
Il passo successivo consisteva nel dumping delle credenziali, seguito dalla pianificazione di altre attività tramite l’apposita utilità di Windows. I cybercriminali avviavano quindi la fase finale, quella della raccolta dei dati in un archivio RAR e l’invio al server remoto, attraverso un arsenale di sei malware strettamente interconnessi tra loro.
I ricercatori hanno attribuito le intrusioni e l’operazione CuckooBees all’APT cinese Winnti, noto anche come APT 41, BARIUM e Blackfly, un gruppo sponsorizzato dallo stato cinese noto per la sua furtività, raffinatezza e concentrazione sul furto di segreti tecnologici.
Si stima che il gruppo sia riuscito a esfiltrare centinaia di gigabyte di informazioni, prendendo di mira la proprietà intellettuale sviluppata dalle vittime, inclusi documenti sensibili, progetti, diagrammi, formule e dati proprietari relativi alla produzione.
Inoltre, gli aggressori hanno raccolto informazioni che potrebbero essere utilizzate per futuri attacchi informatici, come dettagli sulle unità aziendali dell’azienda target, architettura di rete, account utente e credenziali, e-mail dei dipendenti e dati dei clienti.
Cybereason ha informato il Federal Bureau of Investigation (FBI) e il Dipartimento di Giustizia (DOJ) degli Stati Uniti sulle indagini sulla campagna dannosa.
Il team ha pubblicato due rapporti, uno che esamina le tattiche e le tecniche della campagna complessiva e un altro che fornisce un’analisi più dettagliata del malware e degli exploit utilizzati.
https://www.punto-informatico.it/operation-cuckoobees-furto-proprieta-intellettuali/
