Chi sono i Red Star: gli hacker che ci spiano dal 2005

In un rapporto dello scorso febbraio la società di sicurezza Mandiant aveva rilasciato un folto documento sul modus operandi del gruppo di hacker cinesi APT1, legati e gestiti dall'Esercito di Liberazione Popolare del governo. Nella tarda serata di ieri i Kaspersky Lab hanno contribuito a rendere la vicenda ancora più complicata con il rilascio di un nuovo documento che mette sotto i riflettori gli hacker conosciuti come Red Star APT. Secondo i Labs  questo gruppo di hacker è composto da circa 50 persone ed è attivo dal 2005; fino ad oggi avrebbe violato le reti di oltre 350 vittime di “alto profilo” che vanno dagli attivisti tibetani ad agenzie governative, ambasciate, università, istituti di ricerca e compagnie petrolifere.

Kaspersky ha anche individuato il metodo utilizzato dagli hacker per entrare nei sistemi nemici. Si tratta di NetTraveler, un’infezione che si diffonde attraverso un file corrotto di Microsoft Office, inviato a catena per email. Una volta installato su una macchina, il “viaggiatore della Rete” ruba i dati sensibili delle vittime, registra quello che viene battuto sulla tastiera e recupera file di Office e documenti PDF. “ll nome NetTravelerderiva da una stringa interna che è presente nelle prime versioni del malware e che recita: <> - si legge sul blog di Kaspersky - Questo malware è utilizzato da hacker APT per azioni basilari di spionaggio. I primi campioni noti risalgono al 2005, anche se esistono riferimenti che indicano una primaria attività già nel 2004. Il maggior numero di attacchi rilevati si concentrano tuttavia negli ultimi anni: tra il 2010 e il 2013”.

Ma NetTraveler non era da solo.

Nella logica di collaborazione tra hacker (magari dello stato stato spia) Kaspersky ha individuato l’esistenza di un’altra minaccia, lanciata in associazione con il primo malware. Sei delle vittime individuate infatti presenta l’intrusione di un malware conosciuto come Red October individuato per la prima volta a gennaio del 2013. Entrambi utilizzano falle di Office 2003 patchate da Microsoft solo poco tempo dopo. Questo vuol dire, ed è la supposizione dei Labs, che molte delle agenzie spiate avevano lasciato il “cancello” aperto non scaricando le correzioni di Microsoft nonostante ne fossero a conoscenza. “È scioccante che in particolare istituzioni governative e diplomatiche, avvertite di essere state infettate, non abbiano fatto niente" - ha detto Costin Raiu, direttore di ricerca globale dei Kasperky Lab nel corso di un forum sulla sicurezza informatica tenuto ieri a Washington .

Nonostante non vi sia un diretto interessamento del governo cinese, i Labs affermano come la maggior parte degli hacker parlino cinese con un elevato grado di “istruzione per utilizzare linguaggio informatico in inglese”. Gli indirizzi IP tracciati dall'agenzia di sicurezza informatica rimandano in fatti in Cina e, soprattutto, le vittime appartengono a settori di business in cui la Cina sta cercando di accelerare come l’energia e l’ingegneria aerospaziale. Il più alto numero di infezioni sono state rintracciate in Mongolia, India e Russia. In totale i paesi interessati sono 40 tra cui Kazakistan, Kirghizistan, Cina, Tagikistan, Corea del Sud, Spagna, Germania, Stati Uniti, Canada, Regno Unito, Cile, Marocco, Grecia, Belgio, Austria, Ucraina, Lituania, Bielorussia , Australia, Hong Kong, Giappone, Cina, Iran, Turchia, Pakistan, Thailandia, Qatar e Giordania.