Il confine dell’inganno: smascherare gli hacker legati alla Cina che prendono di mira le reti telecom globali

È iniziato in sordina - attività anomala che lampeggiava lungo i perimetri di rete di grandi compagnie di telecomunicazioni nel Sud-Est Europa. Ma sotto la superficie, si stava dispiegando una sofisticata campagna di cyber-spionaggio. Al timone: un oscuro attore di minaccia legato alla Cina noto come UAT-7290, le cui impronte digitali sono state ormai tracciate dall’Asia meridionale all’Europa, lasciandosi dietro firewall violati e dati compromessi.

L’anatomia di una moderna violazione nelle telecomunicazioni

Cisco Talos, il braccio di threat intelligence di Cisco, monitora le operazioni di UAT-7290 almeno dal 2022. In precedenza concentrato sulle telecom dell’Asia meridionale, la recente espansione del gruppo nel Sud-Est Europa segna una preoccupante escalation delle sue ambizioni globali. Il loro metodo? Ricognizione meticolosa, seguita dallo sfruttamento di vulnerabilità note nei dispositivi edge - i router, i firewall e i gateway che collegano le organizzazioni a internet.

Una volta dentro, UAT-7290 distribuisce una suite di malware Linux personalizzati. La catena d’infezione inizia tipicamente con RushDrop, un dropper progettato per eludere l’analisi in macchine virtuali e scompattare ulteriori payload. Questo include SilentRaid, un impianto persistente capace di esecuzione remota di comandi, esfiltrazione di dati e persino raccolta di file di sistema sensibili. Un altro strumento, Bulbature, trasforma i dispositivi compromessi in Operational Relay Box (ORB), consentendo ad altri attori di minaccia di “viaggiare a rimorchio” della violazione ed estendere la propria portata.

Ciò che rende UAT-7290 particolarmente pericoloso è la sua capacità di mescolare codice personalizzato con strumenti open-source ed exploit pubblici, permettendo al gruppo di cambiare rapidamente direzione ed eludere il rilevamento. I loro attacchi spesso prevedono il brute force delle credenziali SSH e l’uso dei cosiddetti exploit “one-day” - che prendono di mira vulnerabilità divulgate pubblicamente ma ancora non corrette sul campo.

La digital forensics ha persino collegato l’infrastruttura di UAT-7290 a una rete di altre famiglie di malware legate alla Cina, tra cui SuperShell e Cobalt Strike, suggerendo un ecosistema di cyber-spionaggio più ampio e coordinato. L’uso da parte del gruppo di certificati TLS auto-firmati e di sofisticati meccanismi di command-and-control complica ulteriormente attribuzione e difesa.

Difendersi dagli invasori invisibili

Per i fornitori di telecomunicazioni, la posta in gioco non potrebbe essere più alta. Gli exploit dei dispositivi edge minacciano non solo i segreti aziendali, ma la spina dorsale delle comunicazioni globali. Cisco Talos ha pubblicato dettagli tecnici e indicatori di compromissione, esortando le organizzazioni a correggere le vulnerabilità note, irrobustire le configurazioni dei dispositivi e monitorare attività sospette.

Mentre la guerra fredda digitale si intensifica, la campagna di UAT-7290 è un monito netto: l’edge è ormai la prima linea nella battaglia per il cyberspazio. La domanda per i difensori non è se, ma quando, arriverà la prossima violazione.

WIKICROOK

• Dispositivo edge: Un dispositivo edge è hardware, come un router o un firewall, che collega le reti private a internet e funge da barriera di sicurezza fondamentale.
• Dropper: Un dropper è un tipo di malware che installa di nascosto ulteriori programmi malevoli su un dispositivo infetto, aiutando gli attaccanti ad aggirare le misure di sicurezza.
• Operational Relay Box (ORB): Un’Operational Relay Box (ORB) è un dispositivo violato usato dai criminali informatici per inoltrare segretamente comandi e dati, mascherando la loro vera identità e posizione.
• One: Le autorizzazioni una tantum concedono a siti web o app accesso temporaneo a funzioni come la fotocamera o la posizione, revocando automaticamente l’accesso quando si esce.
• Command: Un command è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.