Vulnerabilità dei server VPN Fortinet e Pulse Server : APT5

Sembrerebbe esserci la Cina dietro gli attacchi.

Si è scoperto che un gruppo di hacker presumibilmente sponsorizzato dallo stato cinese noto come APT5 sta prendendo di mira i server VPN aziendali Fortinet e Pulse Secure.
L’interesse primario di questo gruppo sembra essere quello delle organizzazioni tecnologiche e delle telecomunicazioni, con un’affinità con le aziende di comunicazione satellitare.
L’APT5, noto anche come Manganese, è un gruppo di hacker cinesi sponsorizzati dallo Stato. Stanno sfruttando le vulnerabilità dei server VPN Fortinet e Pulse Secure VPN per raccogliere file con informazioni sulla password o dati di sessione VPN.

Vulnerabilità dei server VPN Fortinet e Pulse Server
Vulnerabilità dei server VPN Fortinet e Pulse Server

Chi è APT5 ?

APT5, particolarmente focalizzato sulle telecomunicazioni e sulle aziende tecnologiche. Più della metà delle organizzazioni  prese di mira o violate da APT5 operano in questi settori. Più volte, l’APT5 ha preso di mira organizzazioni e personale con sede nel sud-est asiatico. APT5 è attiva almeno dal 2007. Sembra essere un grande gruppo  che si suddivide in diversi sottogruppi, spesso con tattiche e infrastrutture distinte. L’APT5 ha preso di mira o ha violato organizzazioni in diversi settori, ma il suo focus sembra essere sulle società di telecomunicazioni e tecnologiche, in particolare le informazioni sulle comunicazioni via satellite. APT5 ha preso di mira la rete di un’azienda di elettronica che vende prodotti sia per applicazioni industriali che militari. Il gruppo ha successivamente rubato le comunicazioni relative ai rapporti commerciali dell’azienda con un esercito nazionale, compresi gli inventari e i memorandum su prodotti specifici da loro forniti. In un caso alla fine del 2014, APT5 ha violato la rete di una società internazionale di telecomunicazioni. Il gruppo ha utilizzato malware con capacità di keylogging per monitorare il computer di un dirigente che gestisce i rapporti della società con altre società di telecomunicazioni.

Vulnerabilità dei server VPN Fortinet e Pulse Server
Vulnerabilità dei server VPN Fortinet e Pulse Server



 

Vulnerabilità dei server VPN Fortinet e Pulse Secure

Un sottogruppo di APT5 ha iniziato la scansione di Internet a fine agosto alla ricerca dei server Fortinet e Pulse Secure.
Il gruppo sta sfruttando la vulnerabilità CVE-2018-13379 in Fortinet e la vulnerabilità CVE-2019-11510 in Pulse Secure. Queste vulnerabilità consentono l’accesso ai file su un server VPN senza autenticazione.
Questo consente ad APT5 di rubare file con informazioni sulla password e dati di sessione VPN, con i quali possono assumere il controllo dei dispositivi.
Tuttavia, è incerto se il gruppo è riuscito a prendere il controllo dei dispositivi che utilizzano i file rubati.

Che cosa hanno fatto Fortinet e Pulse Secure?

Entrambi i server VPN mirati sono molto popolari sul mercato, con rinomate organizzazioni e dipartimenti governativi che ne fanno uso.

I problemi sono stati segnalati sia a Fortinet che a Pulse Secure a marzo dagli esperti di sicurezza di Devcore. Pulse Secure ha rilasciato una patch di sicurezza in aprile, seguita da vicino da Fortinet in maggio. Ma la maggior parte delle organizzazioni non ha installato le patch, e molte di loro non sapevano che una patch era disponibile. Per assistere i propri clienti nell’applicazione della patch, Pulse Secure e Fortinet hanno adottato varie misure come la pubblicazione di blog e la stretta collaborazione con i clienti.

Tuttavia, APT5 e altri hacker sono ancora in grado di raccogliere informazioni da molte organizzazioni, che devono ancora installare le soluzioni di sicurezza previste.

Vulnerabilità dei server VPN Fortinet e Pulse Server
Vulnerabilità dei server VPN Fortinet e Pulse Server



 

APT1 , forse i più conosciuti

Conosciuto anche come: Unità 61398

Attribuzione

China’s People’s Liberation Army (PLA) General Staff Department’s General Staff Department’s (GSD) 3rd Department (总参三部二局), che è più comunemente noto con il suo Military Unit Cover Designator (MUCD) come Unit 61398 (61398部队).

Settori di destinazione

Tecnologia dell’informazione, Aerospaziale, Pubblica Amministrazione, Satelliti e telecomunicazioni, Ricerca scientifica e consulenza, Energia, Trasporti, Costruzione e produzione, Servizi di ingegneria, Elettronica ad alta tecnologia, Organizzazioni internazionali, Servizi legali, Media, Pubblicità e intrattenimento, Navigazione, Prodotti chimici, Servizi finanziari, Alimentazione e agricoltura, Sanità, Metalli e miniere, Istruzione.

Panoramica APT1

APT1 ha sistematicamente rubato centinaia di terabyte di dati da almeno 141 organizzazioni e ha dimostrato la capacità e l’intenzione di rubare contemporaneamente a decine di organizzazioni. Il gruppo si concentra sulla compromissione delle organizzazioni in un’ampia gamma di settori industriali nei paesi anglofoni. La dimensione dell’infrastruttura di APT1 implica una grande organizzazione con almeno decine, ma potenzialmente centinaia di operatori umani.

Malware associato: TROJAN.ECLTYS, BACKDOOR.BARKIOFORKIOFORK, BACKDOOR.WAKEMINAP, TROJAN.DOWNBOT, BACKDOOR.DALBOT, BACKDOOR.REVIRD, TROJAN.BADNAME, BACKDOOR.WUALESS



 

Vettori d’attacco

Il metodo di compromesso iniziale più comunemente osservato è il spear phishing. Le e-mail di spear phishing contengono un allegato dannoso o un collegamento ipertestuale a un file dannoso. La riga dell’oggetto e il testo nel corpo dell’e-mail sono solitamente rilevanti per il destinatario. APT1 crea anche account di webmail utilizzando nomi di persone reali. Mentre gli intrusi dell’APT1 usano occasionalmente backdoor pubbliche come Poison Ivy e Gh0st RAT, la maggior parte delle volte usano quelle che sembrano essere le loro backdoor personalizzate. Per tutta la loro permanenza in rete (che potrebbe durare anni), APT1 di solito installa nuove backdoor. Poi, se una backdoor viene scoperta e cancellata, hanno ancora altre backdoor che possono usare. Di solito si rilevano più famiglie di backdoor APT1 sparse in una rete di vittime quando APT1 è presente da più di qualche settimana.