▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Australia sotto attacco cyber, la Cina è sospettata

Le autorità australiane segnalano un attacco cyber articolato e complesso, sponsorizzato forse da Pechino

Tecnologie/Scenari
È in corso una serie di attacchi cyber mirati contro aziende ed agenzie governative australiane. La notizia è stata ufficializzata dallo Australian Cyber Security Centre. Secondo cui il Governo australiano è a conoscenza degli attacchi e "vi sta rispondendo". Ad agire sarebbe "uno state-based actor sofisticato". Anche se le azioni di attacco cyber in sé non sembrano poi così sofisticate. Tanto che un advisory dello stesso ACSC li definisce "copy-paste compromises".

Gli attacchi cyber "copia-incolla" sono chiamati in questo modo perché gli attaccanti stanno usando exploit, strumenti e codice liberamente disponibili. Secondo l'ACSC "copiati in maniera quasi identica dall'open source". La prima ondata di attacco cyber, spiegano le autorità, ha usato come vettori alcune vulnerabilità ben note. E legate ad applicazioni o servizi esposti in rete. Si citano in particolare alcune falle di Microsoft Internet Information Services (IIS), SharePoint e Citrix.

In questa prima fase del suo attacco cyber, lo "state-based actor" ha usato alcuni exploit liberamente disponibili online per cercare di penetrare nelle reti di maggiore interesse. Ha anche eseguito scansioni delle reti per rilevare altri servizi online aperti. E potenzialmente vulnerabili. Questa analisi non serve solo per l'attacco in corso. Serve anche per identificare punti di ingresso alle reti che non sono vulnerabili adesso ma potrebbero esserlo in futuro. Per l'apparire di nuove vulnerabilità.
hacking 2964100 1280In particolare, l'Australian Cyber Security Centre spiega che gli attaccanti hanno mostrato un particolare interesse verso l'identificazione di servizi online evidentemente non più manutenuti dalle aziende o dalle organizzazioni sotto attacco cyber. Si tratta tipicamente di ambienti di sviluppo o di test. O di servizi e applicazioni online che sono stati attivati ma poi dimenticati. Ma restano accessibili dall'esterno.

Attacchi cyber mirati

La prima fase di attacco ha quindi riguardato la penetrazione nelle reti sfruttando vulnerabilità generiche dei sistemi. In una seconda fase, gli attacchi hanno usato vettori meno generici e più mirati. Con azioni di spear phishing via email. In particolare, queste campagne mirate di phishing hanno cercato di indirizzare i singoli utenti-bersaglio verso siti che ne sottraevano le credenziali di accesso ai sistemi (credential harvesting), di installare malware sui loro computer, di intercettare le loro connessioni verso Office 365.

Come di norma accade negli attacchi cyber via phishing, conquistare un singolo computer serve per muoversi nella sua rete. Inoltre, è stato rilevato che nel corso dell'attacco alcuni siti web australiani leciti erano stati "occupati" e convertiti in server di comando e controllo per la rete di computer infettati. In questo modo gli attaccanti hanno conquistato una testa di ponte sulle reti australiane. Annullando quindi l'efficacia di ogni filtro geografico (geo-blocking) del traffico proveniente da, o indirizzato verso, nodi fuori dall'Australia.

Ipotesi sullo state-based actor

Chi c'è dietro l'attacco cyber all'Australia? Il modus operandi indica certamente un gruppo ben organizzato. Perché gli attacchi non sono particolarmente sofisticati ma sono stati portati su larga scala. Inoltre, l'ACSC sottolinea che non ha rilevato, da parte degli attaccanti, alcun intento "disruptive or destructive". Quindi l'attacco non ha lo scopo di interrompere le attività delle entità colpite o di distruggere i loro sistemi. Il che lascia pensare ad una operazione organizzata di penetrazione "silenziosa" nei sistemi e di potenziale spionaggio. Già ora o in futuro.
email phishingIl Primo Ministro australiano, Scott Morrison, non ha puntato il dito contro nessuna nazione che potrebbe essere mandante dell'attacco. "Quello che posso confermare - ha dichiarato - è che non c'è un gran numero di state-based actor che potrebbero impegnarsi in questo tipo di attività ed è chiaro, in base alle indicazioni che abbiamo ricevuto, che questo è stato fatto da uno state-based actor con capacità molto significative".

Senza fare nomi, con le sue parole Morrison ha in pratica indicato Cina, Corea del Nord e Russia come i potenziali sponsor dell'attacco. Il maggiore candidato sembrerebbe la Cina, perché delle tre nazioni è quella che ha più interesse a portare avanti azioni di "raccolta informazioni" sulle reti australiane. Australia e Cina hanno infatti notevoli rapporti commerciali. Ma l'Australia è anche una delle poche nazioni che ha posizioni filo-statunitensi nel confronto USA-Cina sul 5G.

Si sospetta poi che la Cina sia già stata sponsor di un'altra recente sequenza di attacchi significativi verso organizzazioni australiane. Prima delle elezioni parlamentari del maggio 2019, alcuni attacchi cyber avevano colpito le reti del Parlamento e i sistemi di due partiti al governo - il Partito Liberale e il Partito Nazionale - e del principale partito di opposizione, il Partito Laburista.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 15
Business Meeting HP | Diventa HP Extended Partner & HP Ecosystem
Lug 15
Networking on OCI: Dietro le Quinte della Rete Cloud
Lug 15
HPE TSC - Le ultime novità HPE per il tuo business a valore aggiunto
Lug 15
Cisco 360 Level Up:la transizione guidata da TD SYNNEX
Lug 16
NetApp Hybrid Cloud Associate Workshop
Lug 17
Ready Informatica Webinar | Cove Data Protection di N-able – Il tuo backup è ancorato al passato?
Lug 18
Ready Informatica Training Online | Cove Data Protection di N-able
Lug 23
Ready Informatica Training Tecnico Avanzato | Parallels RAS
Lug 23
Webinar - Selezione del personale: Un caso pratico HR con DocuWare

Ultime notizie Tutto

Patch Tuesday di luglio 2025: chiuse 137 falle, una Zero Day

Microsoft risolve 137 falle di sicurezza nel Patch Tuesday di luglio, tra cui una Zero Day su SQL Server e gravi vulnerabilità in Windows e SharePoint.

09-07-2025

AI agent e automazione no-code: la nuova era dei SOC

Agentic AI e automazione no-code: i SOC stanno cambiando faccia. Ecco come workflow intelligenti, integrazioni dinamiche e nuovi standard possono ridefinire l’incident response e il ruolo degli analisti.

09-07-2025

Acronis, come semplificare il lavoro di MSP e team IT con il patch management

Umberto Zanatta, Senior Solutions Engineer di Acronis, approfondisce come l’automazione del patch management possa semplificare le attività quotidiane, migliorare l’efficienza e assicurare una maggiore aderenza ai requisiti normativi, anche in ambienti IT complessi e distribuiti

08-07-2025

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1