Il gruppo di hacker cinese “Blackwood” spia persone e aziende nel Regno Unito, in Cina e in Giappone utilizzando uno strumento chiamato NSPX30. Il malware raggiunge i dispositivi presi di mira tramite gli aggiornamenti ufficiali dell'app.
I criminali informatici trovano sempre modi ingegnosi per ottenere dati preziosi. Come hanno scoperto i ricercatori ESET, un gruppo di hacker cinese precedentemente sconosciuto sta cercando dati utilizzando un nuovo strumento chiamato NSPX30. La particolarità: invece di infettare l'utente tramite allegati e-mail e siti Web dannosi, raggiunge i suoi sistemi target tramite aggiornamenti ufficiali delle app. Dal 2018 “Blackwood”, come ha chiamato il gruppo il team guidato dal ricercatore ESET Facundo Muñoz, spia persone e aziende nel Regno Unito, in Cina e in Giappone.
NSPX30 inoltra schermate e informazioni salvate
Una volta installato, il malware inizia immediatamente a raccogliere dati e a trasmetterli a chi si nasconde dietro. Ciò include screenshot, informazioni memorizzate sul dispositivo e sequenze di tasti. Tuttavia, l’esatto modello di attacco e il modo in cui il gruppo nasconde la propria identità è ancora sconosciuto:
"Non sappiamo esattamente come gli aggressori siano in grado di fornire NSPX30 come aggiornamenti dannosi, poiché non abbiamo ancora scoperto lo strumento che i criminali utilizzano per compromettere inizialmente i loro obiettivi", spiega il ricercatore ESET Facundo Muñoz, che gestisce NSPX30 e Blackwood lo ha scoperto. “Tuttavia, sospettiamo che gli aggressori stiano distribuendo il malware nelle reti delle loro vittime installandolo su dispositivi di rete vulnerabili come router o gateway. Ciò è supportato dalla nostra esperienza con simili autori di minacce cinesi, nonché dalle recenti indagini sugli impianti di router attribuiti a un altro gruppo cinese, MustangPanda”.
Chi sono le vittime di Blackwood?
Gli obiettivi del nuovo gruppo di hacker includono persone non identificate in Cina e Giappone e una persona non identificata di lingua cinese collegata alla rete di una prestigiosa università pubblica di ricerca nel Regno Unito. Nel mirino di Blackwood si sono ritrovate anche una grande società di produzione e commercio in Cina, nonché le filiali di una società di produzione giapponese con sede lì.
Come hanno osservato i ricercatori ESET, non è facile per le persone e le organizzazioni colpite respingere definitivamente gli attacchi: gli autori tentano ripetutamente di compromettere i sistemi delle loro vittime non appena viene perso l'accesso.
Blackwood Group utilizza impianti informatici persistenti
Blackwood è un gruppo Advanced Persistent Threat (APT) finanziato dallo stato cinese ed attivo almeno dal 2018. Da allora, ha condotto campagne di spionaggio informatico contro individui e aziende cinesi e giapponesi, principalmente attraverso lo spionaggio informatico. Preferisce il metodo Adversary-in-the-Middle (AitM): i criminali informatici interferiscono con la comunicazione tra l'utente e un servizio legittimo e possono persino utilizzarlo per aggirare meccanismi di sicurezza come l'autenticazione a più fattori.
Nei suoi attacchi il gruppo Blackwood ha utilizzato uno strumento dal nome criptico NSPX30. Si tratta di un cosiddetto implant, ovvero di un malware che consente agli hacker un ampio accesso ai sistemi delle sue vittime. La versione base di questo strumento è apparsa per la prima volta nel 2005. Questo impianto contiene varie funzionalità tra cui un contagocce, un installatore, un orchestratore e una backdoor. Le ultime due funzioni consentono agli hacker di spiare applicazioni come Skype, Telegram e i servizi di messaggistica Tencent QQ e WeChat, particolarmente apprezzati in Cina. Due funzioni rendono l'impianto particolarmente subdolo:
- NSPX30 può infiltrarsi in varie soluzioni anti-malware cinesi per evitare il rilevamento
- L'installazione avviene tramite un aggiornamento ufficiale: se si tenta di scaricare applicazioni come Tencent QQ Messenger o le app per ufficio Sogou Pinyin e gli aggiornamenti WPS Office tramite una connessione non crittografata, l'impianto si installa contemporaneamente. Le vittime non devono nemmeno accedere a un sito compromesso o fare clic su un collegamento di phishing per essere infettate.
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.
Articoli relativi all'argomento