Nuovo gruppo cyber cinese prende di mira le reti elettriche dell’India vicino al Ladakh, un rapporto di RecordedFuture
Siamo tutti perfettamente consapevoli del fatto che la guerra informatica e le campagne di disinformazione sui social media sono stati sforzi fondamentali per lo scopo della Cina di ottenere il controllo della propria supremazia dittatoriale.
TAG-38 e l’attacco a Indian Power Grid Org
Il potere e la propaganda dell’offensiva informatica sono stati profondamente radicati nell’approccio della Cina per battere i rivali esteri. Di recente, l’azienda indiana della rete elettrica è diventata l’obiettivo di un gruppo criminale informatico cinese noto come TAG-38.
Il rapporto di ricerca di Insikt ha rivelato una campagna di hacking gestita da un gruppo malevolo sponsorizzato dallo stato cinese che prendeva di mira l’Indian Power Grid Organisation; la maggior parte degli attacchi informatici ha implicato l’utilizzo di ShadowPad backdoor (software dannoso di proprietà/sviluppo di TAG-38). L’attività di attacco è stata rilevata grazie a una combinazione di più un’ampia analisi automatizzata del traffico di rete con un’analisi manuale.
Da questa prima analisi si rivela che l’attacco all’Indian Power Grid è la prima operazione di questo gruppo APT cinese, considerato quindi di nuova composizione.
L’India non è un target nuovo
Negli ultimi 18 anni la regione indiana è stata presa di mira dagli APT cinesi. Ci sono diversi casi che giustificano queste affermazioni. Nel febbraio 2021 RedEcho, un “sofisticato” gruppo criminale legato alla Cina, ha assediato 10 entità indiane nel settore dell’energia e due nel settore marittimo. L’attacco prese di mira “esclusivamente” la NTPC (National Thermal Power Corporation), di proprietà statale, la più grande compagnia energetica indiana. Gli hacker hanno utilizzato una backdoor modulare denominata ShadowPad per l’attacco informatico. Gli attacchi informatici sono aumentati con l’aumento delle tensioni tra India e Cina sulla scia dello scontro nella valle di Galwan.
Nel 2021 è arrivata alla ribalta un’altra notizia riguardante il gruppo di spionaggio informatico cinese che ha preso di mira vittime dall’India. I ricercatori di sicurezza informatica hanno analizzato che l’APT 41 (altro gruppo di minacce informatiche sponsorizzato dallo stato cinese) è impegnato in attività di spionaggio e criminalità motivate finanziariamente, il gruppo di minacce cinesi ha preso di mira organizzazioni come viaggi, telecomunicazioni, assistenza sanitaria, notizie e istruzione. È stato scoperto che i gruppi di spionaggio cinesi hanno utilizzato e-mail di phishing per accedere alle loro vittime.
La difesa nel cyberspazio
Al fine di proteggere la sua nazione e intensificare le sue capacità offensive, anche l’India ha lanciato vari attacchi informatici contro la nazione cinese. Secondo il rapporto di Forcepoint, nel dicembre 2015 venne lanciata una campagna informatica dalla società di intelligence informatica Phronesis con sede in India, mirata direttamente a cittadini cinesi di diversi settori e agenzie amministrative dell’Asia meridionale. Si è scoperto che si trattava di un attacco informatico sponsorizzato dallo stato in cui sono stati utilizzati 170 documenti dannosi e 4 famiglie di malware distinte.
Nel 2019, il team Anomali Threat Research ha segnalato un’altra campagna di phishing del gruppo BITTER APT, atta a implementare attacchi informatici contro le agenzie governative della Repubblica popolare cinese. Gli attacchi di phishing sfruttano i siti contraffatti progettati per rubare le credenziali di posta elettronica alle vittime bersaglio all’interno dell’amministrazione cinese.
Si può quindi affermare che anche le società indiane di cyber intelligence stanno emergendo come una superpotenza nel dominio dell’offensiva informatica, poiché la nazione indiana sta competendo al meglio per sconfiggere il suo grande rivale geopolitico: la Cina.
