È in corso una serie di attacchi cyber mirati contro aziende ed agenzie governative australiane. La notizia è stata ufficializzata dallo Australian Cyber Security Centre. Secondo cui il Governo australiano è a conoscenza degli attacchi e "vi sta rispondendo". Ad agire sarebbe "uno state-based actor sofisticato". Anche se le azioni di attacco cyber in sé non sembrano poi così sofisticate. Tanto che un advisory dello stesso ACSC li definisce "copy-paste compromises".

Gli attacchi cyber "copia-incolla" sono chiamati in questo modo perché gli attaccanti stanno usando exploit, strumenti e codice liberamente disponibili. Secondo l'ACSC "copiati in maniera quasi identica dall'open source". La prima ondata di attacco cyber, spiegano le autorità, ha usato come vettori alcune vulnerabilità ben note. E legate ad applicazioni o servizi esposti in rete. Si citano in particolare alcune falle di Microsoft Internet Information Services (IIS), SharePoint e Citrix.

In questa prima fase del suo attacco cyber, lo "state-based actor" ha usato alcuni exploit liberamente disponibili online per cercare di penetrare nelle reti di maggiore interesse. Ha anche eseguito scansioni delle reti per rilevare altri servizi online aperti. E potenzialmente vulnerabili. Questa analisi non serve solo per l'attacco in corso. Serve anche per identificare punti di ingresso alle reti che non sono vulnerabili adesso ma potrebbero esserlo in futuro. Per l'apparire di nuove vulnerabilità.
In particolare, l'Australian Cyber Security Centre spiega che gli attaccanti hanno mostrato un particolare interesse verso l'identificazione di servizi online evidentemente non più manutenuti dalle aziende o dalle organizzazioni sotto attacco cyber. Si tratta tipicamente di ambienti di sviluppo o di test. O di servizi e applicazioni online che sono stati attivati ma poi dimenticati. Ma restano accessibili dall'esterno.

Attacchi cyber mirati

La prima fase di attacco ha quindi riguardato la penetrazione nelle reti sfruttando vulnerabilità generiche dei sistemi. In una seconda fase, gli attacchi hanno usato vettori meno generici e più mirati. Con azioni di spear phishing via email. In particolare, queste campagne mirate di phishing hanno cercato di indirizzare i singoli utenti-bersaglio verso siti che ne sottraevano le credenziali di accesso ai sistemi (credential harvesting), di installare malware sui loro computer, di intercettare le loro connessioni verso Office 365.

Come di norma accade negli attacchi cyber via phishing, conquistare un singolo computer serve per muoversi nella sua rete. Inoltre, è stato rilevato che nel corso dell'attacco alcuni siti web australiani leciti erano stati "occupati" e convertiti in server di comando e controllo per la rete di computer infettati. In questo modo gli attaccanti hanno conquistato una testa di ponte sulle reti australiane. Annullando quindi l'efficacia di ogni filtro geografico (geo-blocking) del traffico proveniente da, o indirizzato verso, nodi fuori dall'Australia.

Ipotesi sullo state-based actor

Chi c'è dietro l'attacco cyber all'Australia? Il modus operandi indica certamente un gruppo ben organizzato. Perché gli attacchi non sono particolarmente sofisticati ma sono stati portati su larga scala. Inoltre, l'ACSC sottolinea che non ha rilevato, da parte degli attaccanti, alcun intento "disruptive or destructive". Quindi l'attacco non ha lo scopo di interrompere le attività delle entità colpite o di distruggere i loro sistemi. Il che lascia pensare ad una operazione organizzata di penetrazione "silenziosa" nei sistemi e di potenziale spionaggio. Già ora o in futuro.
Il Primo Ministro australiano, Scott Morrison, non ha puntato il dito contro nessuna nazione che potrebbe essere mandante dell'attacco. "Quello che posso confermare - ha dichiarato - è che non c'è un gran numero di state-based actor che potrebbero impegnarsi in questo tipo di attività ed è chiaro, in base alle indicazioni che abbiamo ricevuto, che questo è stato fatto da uno state-based actor con capacità molto significative".

Senza fare nomi, con le sue parole Morrison ha in pratica indicato Cina, Corea del Nord e Russia come i potenziali sponsor dell'attacco. Il maggiore candidato sembrerebbe la Cina, perché delle tre nazioni è quella che ha più interesse a portare avanti azioni di "raccolta informazioni" sulle reti australiane. Australia e Cina hanno infatti notevoli rapporti commerciali. Ma l'Australia è anche una delle poche nazioni che ha posizioni filo-statunitensi nel confronto USA-Cina sul 5G.

Si sospetta poi che la Cina sia già stata sponsor di un'altra recente sequenza di attacchi significativi verso organizzazioni australiane. Prima delle elezioni parlamentari del maggio 2019, alcuni attacchi cyber avevano colpito le reti del Parlamento e i sistemi di due partiti al governo - il Partito Liberale e il Partito Nazionale - e del principale partito di opposizione, il Partito Laburista.