top of page

I cinesi di APT17 si impongono obiettivi italiani

Una cyber gang cinese chiamata APT17 ha colpito aziende ed enti governativi italiani utilizzando una variante di un malware denominato 9002 RAT.


Le campagna di attacchi cyber più famose di APT17 sfruttavano fallezero-day in Internet Explorer di Microsoft. Noto anche con altri nomi come "DeputyDog" e "Hidden Lynx," il un gruppo di hacker è collegato al governo cinese ed è noto per aver condotto attacchi mirati contro una varietà di obiettivi, tra cui enti governativi, aziende private e organizzazioni non governative in tutto il mondo.


Motivi della Pericolosità di APT17

  1. Sofisticazione Tecnica - APT17 utilizza tecniche di hacking avanzate che rendono i loro attacchi estremamente difficili da rilevare e contrastare. Il gruppo impiega una vasta gamma di strumenti e metodi, tra cui malware customizzati, exploit di giorno zero (zero-day exploits), e tecniche di spear-phishing altamente mirate. La capacità di APT17 di sviluppare e utilizzare exploit di giorno zero è particolarmente preoccupante, poiché queste vulnerabilità sono sconosciute agli sviluppatori del software e quindi non esiste una protezione immediata contro di esse.

  2. Persistenza - Come suggerisce il nome stesso (Advanced Persistent Threat), APT17 è noto per la sua capacità di mantenere accesso non autorizzato a reti compromesse per lunghi periodi di tempo. Una volta ottenuto l'accesso, il gruppo è in grado di muoversi lateralmente all'interno della rete, raccogliendo informazioni sensibili senza essere rilevato. Questa persistenza permette ad APT17 di ottenere dati preziosi e di causare danni a lungo termine alle organizzazioni colpite.

  3. Obiettivi di Alto Valore - APT17 ha preso di mira entità di alto profilo, inclusi governi, aziende del settore della difesa, e organizzazioni politiche. Questi attacchi non sono casuali, ma sono spesso parte di operazioni di spionaggio cibernetico strategiche, mirate a rubare segreti industriali, dati sensibili e informazioni politiche che possono fornire un vantaggio competitivo o strategico alla Cina.

  4. Supporto Statale - Vi sono forti indicazioni che APT17 operi con il supporto del governo cinese. Questo supporto può manifestarsi sotto forma di risorse finanziarie, protezione legale, e accesso a infrastrutture tecniche avanzate. Il coinvolgimento statale non solo aumenta le capacità operative di APT17, ma complica anche le risposte internazionali, poiché gli attacchi sponsorizzati da stati sovrani sono difficili da contrastare e prevenire.

  5. Capacità di Evasione - APT17 è noto per le sue tecniche avanzate di evasione, che rendono estremamente difficile il rilevamento dei loro attacchi da parte dei sistemi di sicurezza tradizionali. Utilizzano tecniche come la crittografia delle comunicazioni, l'offuscamento del codice, e l'uso di infrastrutture di comando e controllo distribuite. Queste tecniche permettono al gruppo di operare sotto il radar, prolungando il tempo di permanenza all'interno delle reti compromesse e aumentando il potenziale di danno.


APT17 rappresenta una delle minacce più significative nel panorama della sicurezza informatica globale. La loro sofisticazione tecnica, persistenza, scelta di obiettivi di alto valore, supporto statale, e capacità di evasione li rendono estremamente pericolosi. La comprensione e la preparazione contro tali minacce richiedono una cooperazione internazionale, investimenti in tecnologie di rilevamento avanzate, e la consapevolezza continua delle tecniche in evoluzione utilizzate da questi gruppi di hacker.

La difesa contro APT17 e gruppi simili rappresenta una sfida complessa che richiede una risposta coordinata e multilivello, coinvolgendo sia il settore pubblico che quello privato per proteggere le infrastrutture critiche e i dati sensibili a livello globale.


Noi di TEKAPP consigliamo l'approccio "CYBER OFFENSIVE" per determinare le falle di sicurezza delle infrastrutture e le opportunità di miglioramento della propria cyber-resilience. Successivamente operiamo in prevenzione per evitare ogni evento di attacco.

Comments


bottom of page