Italiano 
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Conosci il tuo avversario: HC3 condivide i dettagli dei gruppi APT cinesi che prendono di mira il settore sanitario
Pubblicato da Steve Alder il 24 agosto 2023
Il settore sanitario è attivamente preso di mira da bande di criminali informatici motivate finanziariamente; tuttavia, anche i gruppi di hacker sponsorizzati dallo Stato cercano di accedere alle reti sanitarie e prendono attivamente di mira gli operatori sanitari e altri enti del settore sanitario e della sanità pubblica.
In un avviso di sicurezza pubblicato di recente, il Centro di coordinamento della sicurezza informatica del settore sanitario (HC3) fornisce un profilo di minaccia di alcuni dei gruppi di hacker cinesi più capaci noti per prendere di mira le organizzazioni sanitarie statunitensi. Sebbene sia noto che almeno un gruppo di hacking sponsorizzato dallo stato cinese conduce attacchi informatici a scopo di lucro, la maggior parte dei gruppi conduce attacchi a fini di spionaggio e per ottenere proprietà intellettuale (IP) di interesse per il governo della Repubblica popolare cinese, come i diritti di proprietà intellettuale alla tecnologia medica e alla medicina. Ad esempio, gli hacker cinesi hanno preso di mira le aziende farmaceutiche durante la pandemia alla ricerca di dati sulla ricerca sul vaccino COVID-19.
Uno dei gruppi di minacce più attivi è noto come APT41 (anche BARIUM, Winnti, LEAD, WICKED SPIDER, WICKED PANDA, Blackfly, Suckfly, Winnti Umbrella e Double Dragon). Il gruppo è attivo almeno dal 2007 ed è noto che prende di mira le organizzazioni sanitarie statunitensi, più comunemente con l’obiettivo di ottenere la proprietà intellettuale da trasferire al governo cinese, che rende operativa la tecnologia per portarla sul mercato. Il gruppo si dedica anche allo spionaggio e all'estorsione digitale ed è noto per condurre attacchi informatici motivati finanziariamente, sebbene tali operazioni possano essere per guadagno personale piuttosto che su richiesta del governo cinese. APT41 sfrutta in modo aggressivo le vulnerabilità note, spesso entro poche ore dalla divulgazione pubblica, come nel caso delle vulnerabilità ProxyLogon e Log4J. Una volta ottenuto l'accesso iniziale, il gruppo si sposta lateralmente all'interno delle reti e stabilisce un accesso persistente, spesso rimanendo nelle reti senza essere rilevato per lunghi periodi mentre i dati di interesse vengono esfiltrati. Il gruppo dispone di un vasto arsenale di malware e utilizza strumenti di sicurezza ben noti nei suoi attacchi, come una versione personalizzata di Cobalt Strike, Acunetix, Nmap, JexBoss e Sqlmap.
APT10 (noto anche come Menupass Team, Stone Panda, Red Apollo, Cicada, CVNX, HOGFISH e Cloud Hopper) è impegnato in attività di cyberspionaggio e guerra informatica e si concentra su dati militari e di intelligence. Il gruppo è noto per sfruttare le vulnerabilità zero-day per ottenere l'accesso alle reti di obiettivi di interesse e utilizza una varietà di strumenti personalizzati e pubblici per raggiungere i propri obiettivi. APT10 conduce attacchi altamente mirati, con l’accesso iniziale spesso ottenuto tramite spear phishing. È noto anche che il gruppo prende di mira i fornitori di servizi gestiti (MSP) per attaccare i loro clienti a valle. Il gruppo spesso si impegna in tattiche di vita della terra, utilizzando strumenti già installati negli ambienti delle vittime.
Inserisci l'indirizzo e-mail corretto
La tua privacy rispettata
Informativa sulla privacy della rivista HIPAA
APT18 (noto anche come Wekby, TA-428, TG-0416, Scandium e Dynamite Panda) è un gruppo APT poco conosciuto che si ritiene lavori a stretto contatto con l'esercito cinese e spesso prende di mira gruppi per i diritti umani, governi e una serie di di settori, comprese le aziende farmaceutiche e biotecnologiche. Il gruppo è noto per sviluppare i propri exploit zero-day, nonché per adattare gli exploit di altri per soddisfare le proprie esigenze operative, e utilizza malware sofisticati come Gh0st RAT, HTTPBrowser, pisloader e PoisonIvy. Si ritiene che APT18 sia dietro un attacco del 2014 contro un fornitore di servizi sanitari in cui furono rubati i dati di 4,5 milioni di pazienti. Si pensa che il gruppo abbia sfruttato la vulnerabilità OpenSSL Heartbleed per ottenere l'accesso alla rete.
APT22 (noto anche come Barista, Group 46 e Suckfly) sembra concentrarsi sul prendere di mira entità politiche e il settore sanitario, in particolare aziende biomediche e farmaceutiche. Il gruppo è noto per identificare server Web vulnerabili rivolti al pubblico sulle reti delle vittime e caricare shell Web e utilizza malware complessi come PISCES, SOGU, FLATNOTE, ANGRYBELL, BASELESS, SEAWOLF e LOGJAM.