Nel mondo della sicurezza informatica, un gruppo di hacker cinesi noto come Flax Typhoon ha recentemente attirato l’attenzione per un attacco innovativo che ha permesso loro di mantenere l’accesso a sistemi critici per oltre un anno. L’attacco ha sfruttato il software di mappatura geografica ArcGIS, manipolando una delle sue estensioni per creare una backdoor che permetteva di eseguire comandi remoti. Questo attacco ha dimostrato come i gruppi di hacker possano utilizzare software legittimi per aggirare le misure di sicurezza e mantenere l’accesso a lungo termine ai sistemi bersaglio.
Il gruppo Flax Typhoon è noto per le sue abilità nell’utilizzare tecniche “living-off-the-land” (LOTL), che consistono nell’usare strumenti e servizi legittimi del sistema bersaglio per rimanere nascosti e prolungare la loro presenza. Questo tipo di attacchi è particolarmente pericoloso perché non richiede l’uso di malware avanzato e può essere mascherato da traffico normale.
Per proteggersi da attacchi simili, è fondamentale:
- Monitorare attentamente le applicazioni pubbliche: le applicazioni che espongono parte del loro funzionamento verso l’esterno sono potenzialmente vulnerabili.
- Aggiornare costantemente i sistemi: mantenere aggiornati tutti i componenti software può aiutare a prevenire sfruttamenti di vulnerabilità.
- Implementare misure di sicurezza proattive: andare oltre la semplice rilevazione degli indicatori di compromissione e adottare strategie di caccia alle minacce per individuare attacchi anomali.
Panoramica dell’Attacco
L’attacco ha iniziato ad attirare l’attenzione dopo che i ricercatori di ReliaQuest hanno riferito che Flax Typhoon ha sfruttato un sistema ArcGIS per quasi due anni. Questo software è ampiamente utilizzato per la gestione dei dati geografici e viene impiegato da numerose organizzazioni private e governative.
Il gruppo ha identificato un server ArcGIS pubblicamente accessibile, collegato a un server privato utilizzato per le operazioni di backend. Agendo su questo setup, gli hacker hanno compromesso un account di amministratore del portale e hanno installato un’estensione maliziosa, trasformando il server in una web shell che poteva eseguire comandi remoti. Questa backdoor ha permesso ai criminali di mantenere l’accesso anche dopo eventuali tentativi di ripristino del sistema.
L’elemento chiave dell’attacco è stata l’abilità degli hacker di mascherare le loro azioni come traffico normale, utilizzando le stesse funzionalità del software per evitare di essere rilevati. Inoltre, il gruppo ha aggiunto un codice di accesso hardcodato per garantire che solo chi possedesse la chiave potesse accedere al sistema, evitando così l’intromissione di altri attaccanti o amministratori di sistema.
Un’ulteriore strategia utilizzata da Flax Typhoon è stata quella di includere l’estensione compromessa nei backup del sistema. Questo ha garantito che, anche se il sistema fosse stato ripristinato da un backup, l’accesso dell’hacker sarebbe stato mantenuto, trasformando in pratica un meccanismo di sicurezza in un vettore di reinfezione.
Impacto degli Attacchi di Flax Typhoon
Flax Typhoon è noto per il suo stile di attacco “stealth”, che prevede l’uso di strumenti incorporati nel sistema operativo e software legittimi per mantenere un’attività di spionaggio informatico a lungo termine senza lasciare tracce rilevanti. Questo gruppo è stato identificato come attivo da almeno il 2021 e ha condotto operazioni di spionaggio contro entità negli Stati Uniti, in Europa e a Taiwan.
L’attacco contro ArcGIS sottolinea la capacità di Flax Typhoon di sfruttare componenti software legittimi per ottenere accesso persistente ai sistemi critici, bypassando le misure di sicurezza tradizionali. Questo tipo di attacchi è particolarmente pericoloso perché può persistere anche dopo tentativi di ripristino del sistema, sfruttando la fiducia generalmente riposta nei confronti dei software ufficiali.
Conseguenze e Prevenzione
Le conseguenze di simili attacchi possono essere devastanti, poiché un singolo compromesso può causare la perdita di dati sensibili, interrompere operazioni criticali e fornire un accesso sicuro per future manovre di movimento laterale attraverso le reti aziendali connesse.
Per proteggersi da attacchi come questi, è cruciale adottare misure di sicurezza proattive, come:
- Monitoraggio costante: tenere sotto controllo tutti i componenti del sistema, soprattutto quelli che espongono funzionalità verso l’esterno.
- Aggiornamenti regolari: mantenere aggiornati tutti i componenti software per prevenire l’uso di vulnerabilità note.
- Caccia alle minacce: implementare strategie di caccia alle minacce avanzate per individuare attività anomale che potrebbero indicare un compromesso del sistema.
- Validazione degli accessi: assicurarsi che tutti gli accessi siano validati e tracciati per prevenire l’intrusione di attaccanti mascherati da utenti legittimi.
Prospettive Future
L’attacco di Flax Typhoon contro ArcGIS rappresenta un chiaro esempio di come i gruppi di hacker possano utilizzare software legittimi per aggirare le misure di sicurezza tradizionali e mantenere l’accesso a lungo termine ai sistemi critici. Questo tipo di attacchi renderà sempre più importante adottare strategie di sicurezza proattive e basate su intelligenza avanzata per proteggere i sistemi e mantenere la riservatezza dei dati sensibili.
In futuro, è probabile che i gruppi di hacker continueranno a sfruttare tecniche simili per mantenere la loro presenza all’interno delle reti crittografiche dei sistemi informatici, dimostrando l’importanza di una vigilanza costante e di una strategia di sicurezza ben strutturata.
Fonte: https://www.databreachtoday.com/breach-roundup-chinese-hackers-exploited-arcgis-a-2974
