Un gruppo di hacker (o per meglio dire cracker) legati alla Cina noto come TA413 ha aggirato vulnerabilità recentemente divulgate, presenti in Sophos Firewall e Microsoft Office per implementare una backdoor mai vista prima chiamata LOWZERO; così parte una campagna di spionaggio rivolta alle istituzioni tibetane.
Gli obiettivi consistevano principalmente in organizzazioni associate alla comunità tibetana, comprese le imprese associate al governo tibetano; del resti in Asia negli ultimi tempi questa tipologia di attacchi informatici (e non solo) è relativamente frequente.
LOWZERO: ecco dove si trova e come funziona
Le intrusioni hanno coinvolto lo sfruttamento di CVE-2022-1040 e CVE-2022-30190 (quest’ultima conosciuta anche col nome di “Follina”), due vulnerabilità di esecuzione di codice in modalità remota rispettivamente in Sophos Firewall e Microsoft Office.
“Questa volontà di incorporare rapidamente nuove tecniche e metodi di accesso iniziale contrasta con l’uso continuato da parte del gruppo di capacità ben note e segnalate, come l’armatore Royal Road RTF, e tendenze spesso permissive di accesso alle infrastrutture [informatiche]“, ha affermato Recorded Future in una nuova (e recente) analisi tecnica .
TA413, noto anche come LuckyCat, è stato collegato per prendere di mira incessantemente organizzazioni e individui associati alla comunità tibetana almeno dal 2020 utilizzando malware come ExileRAT, Sepulcher e un’estensione dannosa del browser Mozilla Firefox denominata FriarFox.
Lo sfruttamento da parte del gruppo hacker del difetto di Follina era stato precedentemente evidenziato da Proofpoint nel giugno 2022, sebbene l’obiettivo finale finale delle catene di attacchi di infezione (nel senso tramite l’ausilio di virus e malware) rimanesse poco chiaro.
Inoltre, in un attacco di spear-phishing identificato nel maggio 2022 è stato utilizzato un documento RTF dannoso che sfruttava i difetti in Microsoft Equation Editor per eliminare l’impianto LOWZERO personalizzato.
Ciò è stato ottenuto utilizzando uno strumento denominato Royal Road RTF, ampiamente condiviso tra gli hacker cinesi; sostanzialmente è questa la Backdoor LOWZERO di Microsoft Office.
In un’altra email di phishing inviata ad una serie di utenti tibetani a fine maggio, un allegato di Microsoft Word ospitato sul servizio Google Firebase ha tentato di sfruttare la vulnerabilità di Follina per eseguire un comando PowerShell progettato per scaricare la backdoor da un server remoto.
Questa backdoor, LOWZERO, è in grado di ricevere moduli aggiuntivi dal suo server di comando e controllo (C2), ma solo a condizione che la macchina compromessa sia considerata di interesse per i cracker malintenzionati.
“Il gruppo continua ad aumentare le proprie capacità e allo stesso tempo fa affidamento su tattiche, tecniche e procedure collaudate“, ha affermato la società di sicurezza informatica.
“L’utilizzo da parte di TA413 delle vulnerabilità zero-day e pubblicate di recente è indicativa di tendenze più ampie con i gruppi di spionaggio informatico cinesi per cui gli exploit appaiono regolarmente utilizzati da più gruppi di attività cinesi distinti prima della loro diffusa disponibilità pubblica“.
Come difendersi da un eventuale attacco che sfrutta LOWZERO?
Anzitutto è bene ribadire come detto sopra che:
- LOWZERO si attiva solo su Microsoft Office e tramite il firewall Sophos;
- Si attiva solamente tramite file di estensione RTF.
Posto ciò, è abbastanza intuibile che, anche senza per forza usare Linux per aprire accedere a tali dati è più che sufficiente usare alternative ad Office (come LibreOffice oppure OpenOffice) per aprire un file RTF.
Nel caso in tu sia un tantino fobico (ma non c’è motivo di esserlo, in Italia è decisamente improbabile ciò accada), puoi sempre dotarti di una macchina virtuale Linux per aprire gli RTF o di un computer con Linux a sé stante.
Inoltre Office non andrebbe usato con crack di dubbia fattura (KMS), bensì con licenze legali, e periodicamente aggiornato, sebbene in tal caso non resti che aspettare che Microsoft sistemi questo problema.
Nel caso del firewall Sophos, invece, basta cambiare firewall, se usi Windows, ad esempio, lasci quello Microsoft di default e via.
Ribadisco che resta decisamente improbabile questa possibilità per il nostro paese, salvo qualche burlone non sia intenzionato ad attaccare le nostre istituzioni…