Microsoft blocca il gruppo di hacker cinesi Nickel

La divisione Microsoft Digital Crimes Unit infligge un duro colpo al gruppo di hacker cinese Nickel, prendendo il controllo di 42 siti web compromessi
Microsoft blocca il gruppo di hacker cinesi Nickel
SmartWorld team
SmartWorld team

Microsoft infligge un duro colpo all'attività del gruppo di hacker cinese conosciuto con il nome di Nickel. Attraverso un dettagliato comunicato stampa diramato nei giorni scorsi, l'azienda di Redmond ha annunciato che la sua Digital Crimes Unit (DCU) – la divisione che da anni si occupa di smantellare botnet e porre un freno alla preoccupante crescita del cybercrimine, grazie anche alla collaborazione attiva con le forze dell'ordine e con le autorità giudiziarie – ha sequestrato 42 siti web riconducibili al sodalizio asiatico e utilizzati da quest'ultimo come base per approntare attacchi informatici ad organizzazioni (in particolare agenzie governative ed entità diplomatiche) negli Stati Uniti e nel mondo. L'elenco completo dei domini sequestrati è disponibile al seguente indirizzo.

Nickel è attivo su Internet da più di un decennio

Tutto parte dall'istanza formale presentata il 2 dicembre scorso dalla Microsoft Digital Crimes Unit a un tribunale distrettuale della Virginia, con la quale la divisione americana ha chiesto all'autorità il permesso di assumere il controllo dei siti web di proprietà del gruppo di hacker cinese Nickel. Grazie all'avallo del tribunale, Microsoft ha così reindirizzato il traffico dei siti web, instradandolo verso i server controllati dalla stessa azienda statunitense. Fino ad ora, la divisione è riuscita a bloccare più di 10.000 siti web dannosi utilizzati da criminali informatici.

L'ordinanza emanata dall'autorità rappresenta la perfetta chiusura del cerchio di una laboriosa attività di indagine avviata da Microsoft nel corso di questi anni. Per stessa ammissione della società di Redmond, Nickel era sotto sorveglianza dal 2016, data in cui l'unità anti-botnet di Microsoft ha scoperto per la prima volta l'operato criminoso del gruppo di hacker.

Cos'è Nickel

Nickel è attivo sul web da circa un decennio con lo scopo di prendere di mira organizzazioni e aziende del settore pubblico e privato, mettendo le mani su informazioni e dati sensibili. Conosciuto anche sotto varie denominazioni (APT15, KE3CHANG, VIxen Panda, Royal APT e Playful Dragon), il gruppo di cybercriminali di origine asiatica si è mosso indistintamente in tutto il globo e, come evidenziato in un passaggio del comunicato stampa, il suo operato ha interessato anche l'Italia.

Il modus operandi di Nickel si è adattato negli anni all'evoluzione delle tecniche informatiche, pur mantenendo lo stesso obiettivo di fondo: veicolare appositi malware dentro le reti aziendali al fine di carpire dati sensibili e spiare agenzie governative e organizzazioni per i diritti umani, avendo poi cura di esportare tutte queste informazioni sui server sotto il loro controllo. «Il malware è progettato per apportare modifiche ai livelli più profondi e sensibili del sistema operativo del computer», ha affermato in una nota l'unità di sicurezza digitale di Microsoft.

Come funziona Nickel

La DCU ha notato che il gruppo di hacker cinesi utilizzava vulnerabilità precedenti e corrette presenti in alcuni prodotti di Microsoft, tra cui Exchange e SharePoint, servendosi di fornitori VPN (virtual private network) di terze parti compromessi o di credenziali rubate grazie ad apposite campagne di spear-phishing. Una volta trovato il punto d'appoggio sul sistema compromesso, Nickel faceva uso di un keylogger per acquisire le credenziali degli utenti sui sistemi compromessi: tra gli strumenti di dumping delle password più gettonati dagli hacker figurano soprattutto Mimikatz, WDigest e NTDSDump. Inoltre, Nickel utilizzava credenziali compromesse per l'accesso agli account Microsoft 365 delle vittime, sfruttando i normali accessi tramite browser e protocollo legacy Exchange Web Services (EWS) per spiare le conversazioni via e-mail degli utenti.

Il gruppo di cybercriminali era poi solito posizionare il malware nei percorsi software relativi ad installazioni di programmi di terze parti: un trucco che permetteva di nascondere bene il virus, facendo sembrare quest'ultimo un vero e proprio file di appoggio necessario per il funzionamento di un'applicazione installata dall'utente. Di fatto si trattava di backdoor capaci di raccogliere informazioni di sistema, tra cui indirizzo IP, la versione del sistema operativo, la lingua del sistema, il nome del PC e il nome utente registrato. Avevano inoltre funzionalità backdoor di base, come avviare un processo, caricare un file, scaricare un file ed eseguire uno shellcode in memoria.

La divisione di Microsoft ha certamente inflitto un duro colpo all'attività di Nickel, rimuovendo un pezzo chiave dell'infrastruttura su cui il gruppo di hacker ha finora fatto affidamento per approntare gli attacchi criminali. La battaglia non è purtroppo ancora vinta e in un passaggio del comunicato stampa, Microsoft Digital Crimes Unit ha consigliato alcune operazioni per tutelarsi dalle attività malevoli e tra queste trova spazio l'autenticazione a due fattori sugli account.

Mostra i commenti