▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Australia sotto attacco cyber, la Cina è sospettata

Le autorità australiane segnalano un attacco cyber articolato e complesso, sponsorizzato forse da Pechino

Tecnologie/Scenari
È in corso una serie di attacchi cyber mirati contro aziende ed agenzie governative australiane. La notizia è stata ufficializzata dallo Australian Cyber Security Centre. Secondo cui il Governo australiano è a conoscenza degli attacchi e "vi sta rispondendo". Ad agire sarebbe "uno state-based actor sofisticato". Anche se le azioni di attacco cyber in sé non sembrano poi così sofisticate. Tanto che un advisory dello stesso ACSC li definisce "copy-paste compromises".

Gli attacchi cyber "copia-incolla" sono chiamati in questo modo perché gli attaccanti stanno usando exploit, strumenti e codice liberamente disponibili. Secondo l'ACSC "copiati in maniera quasi identica dall'open source". La prima ondata di attacco cyber, spiegano le autorità, ha usato come vettori alcune vulnerabilità ben note. E legate ad applicazioni o servizi esposti in rete. Si citano in particolare alcune falle di Microsoft Internet Information Services (IIS), SharePoint e Citrix.

In questa prima fase del suo attacco cyber, lo "state-based actor" ha usato alcuni exploit liberamente disponibili online per cercare di penetrare nelle reti di maggiore interesse. Ha anche eseguito scansioni delle reti per rilevare altri servizi online aperti. E potenzialmente vulnerabili. Questa analisi non serve solo per l'attacco in corso. Serve anche per identificare punti di ingresso alle reti che non sono vulnerabili adesso ma potrebbero esserlo in futuro. Per l'apparire di nuove vulnerabilità.
hacking 2964100 1280In particolare, l'Australian Cyber Security Centre spiega che gli attaccanti hanno mostrato un particolare interesse verso l'identificazione di servizi online evidentemente non più manutenuti dalle aziende o dalle organizzazioni sotto attacco cyber. Si tratta tipicamente di ambienti di sviluppo o di test. O di servizi e applicazioni online che sono stati attivati ma poi dimenticati. Ma restano accessibili dall'esterno.

Attacchi cyber mirati

La prima fase di attacco ha quindi riguardato la penetrazione nelle reti sfruttando vulnerabilità generiche dei sistemi. In una seconda fase, gli attacchi hanno usato vettori meno generici e più mirati. Con azioni di spear phishing via email. In particolare, queste campagne mirate di phishing hanno cercato di indirizzare i singoli utenti-bersaglio verso siti che ne sottraevano le credenziali di accesso ai sistemi (credential harvesting), di installare malware sui loro computer, di intercettare le loro connessioni verso Office 365.

Come di norma accade negli attacchi cyber via phishing, conquistare un singolo computer serve per muoversi nella sua rete. Inoltre, è stato rilevato che nel corso dell'attacco alcuni siti web australiani leciti erano stati "occupati" e convertiti in server di comando e controllo per la rete di computer infettati. In questo modo gli attaccanti hanno conquistato una testa di ponte sulle reti australiane. Annullando quindi l'efficacia di ogni filtro geografico (geo-blocking) del traffico proveniente da, o indirizzato verso, nodi fuori dall'Australia.

Ipotesi sullo state-based actor

Chi c'è dietro l'attacco cyber all'Australia? Il modus operandi indica certamente un gruppo ben organizzato. Perché gli attacchi non sono particolarmente sofisticati ma sono stati portati su larga scala. Inoltre, l'ACSC sottolinea che non ha rilevato, da parte degli attaccanti, alcun intento "disruptive or destructive". Quindi l'attacco non ha lo scopo di interrompere le attività delle entità colpite o di distruggere i loro sistemi. Il che lascia pensare ad una operazione organizzata di penetrazione "silenziosa" nei sistemi e di potenziale spionaggio. Già ora o in futuro.
email phishingIl Primo Ministro australiano, Scott Morrison, non ha puntato il dito contro nessuna nazione che potrebbe essere mandante dell'attacco. "Quello che posso confermare - ha dichiarato - è che non c'è un gran numero di state-based actor che potrebbero impegnarsi in questo tipo di attività ed è chiaro, in base alle indicazioni che abbiamo ricevuto, che questo è stato fatto da uno state-based actor con capacità molto significative".

Senza fare nomi, con le sue parole Morrison ha in pratica indicato Cina, Corea del Nord e Russia come i potenziali sponsor dell'attacco. Il maggiore candidato sembrerebbe la Cina, perché delle tre nazioni è quella che ha più interesse a portare avanti azioni di "raccolta informazioni" sulle reti australiane. Australia e Cina hanno infatti notevoli rapporti commerciali. Ma l'Australia è anche una delle poche nazioni che ha posizioni filo-statunitensi nel confronto USA-Cina sul 5G.

Si sospetta poi che la Cina sia già stata sponsor di un'altra recente sequenza di attacchi significativi verso organizzazioni australiane. Prima delle elezioni parlamentari del maggio 2019, alcuni attacchi cyber avevano colpito le reti del Parlamento e i sistemi di due partiti al governo - il Partito Liberale e il Partito Nazionale - e del principale partito di opposizione, il Partito Laburista.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 10
Azure Special Club
Lug 10
Business Meeting Lexmark Marche | XC9525, la nuova generazione della stampa A3
Lug 10
Bootcamp WatchGuard - Sicurezza senza compromessi: Scopri WatchGuard Endpoint Security
Lug 10
Boost Your Backup Strategy con Object First: demo live e casi di successo
Lug 10
Parallels RAS: accesso remoto sicuro, semplice, e scalabile per la tua azienda
Lug 10
scrivi qui il titolo...
Lug 11
TPM 2.0: Il Cuore della Sicurezza nei PC Moderni
Lug 11
Accesso Sicuro, Futuro Protetto: Il Viaggio con Cisco Duo
Lug 11
Microsoft Sentinel: la piattaforma SIEM e SOAR per il soc moderno

Ultime notizie Tutto

Acronis, come semplificare il lavoro di MSP e team IT con il patch management

Umberto Zanatta, Senior Solutions Engineer di Acronis, approfondisce come l’automazione del patch management possa semplificare le attività quotidiane, migliorare l’efficienza e assicurare una maggiore aderenza ai requisiti normativi, anche in ambienti IT complessi e distribuiti

08-07-2025

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

SentinelOne premia i partner top performer in EMEA

Nel corso del PartnerOne Summit 2025 il vendor di cybersecurity premia i contributi di eccellenza all'innovazione nelle soluzioni di sicurezza dei propri partner

07-07-2025

Scattered Spider punta su attacchi a catena via fornitori BPO e call center

Noto gruppo criminale sfrutta la compromissione di fornitori BPO e call center per colpire più vittime in settori chiave. Facciamo il punto sulle nuove tattiche.

04-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1