Le agenzie governative e le organizzazioni non governative negli Stati Uniti sono diventate il bersaglio di un nascente gruppo di hacker legati alla Cina noto come Storm-2077.
Storm-2077, chi sono e quali sono i loro obbiettivi
Secondo Microsoft, il gruppo hacker noto come Storm-2077, attivo almeno da gennaio 2024, ha condotto attacchi informatici contro il settore della difesa (Defense Industrial Base – DIB), l’aviazione, le telecomunicazioni, i servizi finanziari e legali in tutto il mondo.
La compagnia ha inoltre sottolineato che il cluster di attività coincide con un gruppo di minacce che il team Insikt Group di Recorded Future sta monitorando con il nome TAG-100.
Le catene di attacco hanno coinvolto il targeting di vari dispositivi di rete esposti a Internet utilizzando exploit disponibili pubblicamente per ottenere accesso iniziale e distribuire Cobalt Strike, oltre a malware open-source come Pantegana e Spark RAT, ha osservato l’azienda di cybersecurity a luglio.
“Negli ultimi dieci anni, a seguito di numerose incriminazioni governative e della divulgazione pubblica delle attività dei criminali informatici, il monitoraggio e l’attribuzione delle operazioni cyber provenienti dalla Cina sono diventati sempre più complessi poiché gli attaccanti hanno adattato le loro tattiche“, ha affermato Microsoft.
Storm-2077 sembra orchestrare missioni di raccolta di informazioni utilizzando email di phishing per ottenere credenziali valide associate ad applicazioni eDiscovery, con l’obiettivo di esfiltrare email che potrebbero contenere informazioni sensibili utili per avanzare nelle loro operazioni.
“In altri casi, Storm-2077 è stato osservato accedere a ambienti cloud raccogliendo credenziali da endpoint compromessi“, ha dichiarato Microsoft. “Una volta ottenuto l’accesso amministrativo, Storm-2077 ha creato la propria applicazione con diritti di lettura delle email.”
La rivelazione arriva mentre il Threat Intelligence Group (TAG) di Google ha fatto luce su un’operazione di influenza pro-Cina (IO) chiamata GLASSBRIDGE, che utilizza una rete di siti di notizie inautentici e servizi di agenzie stampa per amplificare narrazioni allineate alle visioni e all’agenda politica del Paese su scala globale.
Il gigante tecnologico ha dichiarato di aver bloccato più di mille siti web gestiti da GLASSBRIDGE dal comparire nei prodotti Google News e Google Discover dal 2022.
“Questi siti di notizie inautentici sono gestiti da un piccolo numero di agenzie di PR digitali indipendenti che offrono servizi di distribuzione, sindacazione e marketing“, ha detto Vanessa Molter, ricercatrice del TAG. “Si presentano come testate indipendenti che ripubblicano articoli dei media statali della RPC, comunicati stampa e altri contenuti probabilmente commissionati da clienti di agenzie di PR.”
Queste includono aziende come Shanghai Haixun Technology (che include il cluster HaiEnergy), Times Newswire/Shenzhen Haimai Yunxiang Media (nota anche come campagna PAPERWALL), Shenzhen Bowen Media e DURINBRIDGE, l’ultima delle quali è una società commerciale che distribuisce contenuti per Haixun e DRAGONBRIDGE.
Shenzhen Bowen Media, una società di marketing con sede in Cina, gestisce anche World Newswire, lo stesso servizio di comunicati stampa utilizzato da Haixun per collocare contenuti pro-Pechino nei sottodomini di testate giornalistiche legittime, come rivelato da Mandiant di Google a luglio 2023.
Alcuni dei sottodomini identificati erano markets.post-gazette[.]com, markets.buffalonews[.]com, business.ricentral[.]com, business.thepilotnews[.]com e finance.azcentral[.]com, tra gli altri.
“I siti di notizie inautentici gestiti da GLASSBRIDGE illustrano come gli autori delle operazioni di influenza abbiano adottato metodi che vanno oltre i social media per cercare di diffondere le loro narrazioni“, ha affermato Molter. “Presentandosi come testate indipendenti, spesso locali, gli attori IO sono in grado di adattare i loro contenuti a specifici pubblici regionali e presentare le loro narrazioni come contenuti giornalistici ed editoriali apparentemente legittimi.”
Il vero problema delle notizie fasulle
Il vero problema delle notizie fasulle, in questo caso è che spesso i siti di notizie fasulle non sono fatti (solamente) per propagare notizie fasulle, ma spesso per far cliccare sui famosi link ingannevoli.
Che non vanno comunque confusi con notizie di satira o di trolling.
