“Pantsless Data”: Decodifica delle tattiche, tecniche e procedure (TTPs) del cybercrime cinese

05/03/2024
Per anni, la maggior parte della ricerca sulla sicurezza industriale e le segnalazioni pubbliche si sono concentrate sui cybercriminali con sede nei paesi occidentali e in Russia. Sebbene ci siano motivi validi per questo – molteplici cyberattacchi sofisticati e le conseguenti fughe di dati sono stati attribuiti a gruppi di cybercriminali con sede in quelle regioni – come comunità di ricerca, stiamo trascurando un pezzo crescente del puzzle che si nasconde proprio sotto il nostro naso: la comunità di minaccia di lingua cinese.

Su Telegram, X (ex Twitter), altri siti di social media e forum sotterranei, hacker cinesi, broker di dati, crawler e venditori hanno costruito un vasto ecosistema di commercio illegale di dati pubblicizzando grandi quantità di informazioni personalmente identificabili (PII). Attraverso la ricerca dei laboratori di SpyCloud, abbiamo scoperto che questi dati vengono ottenuti attraverso mezzi tradizionali e attraverso tattiche, tecniche e procedure (TTPs) che sono state adattate per adattarsi al paesaggio unico dell’industria delle telecomunicazioni cinese:

  • Le TTP tradizionali per l’estrazione dei dati includono lo sfruttamento delle vulnerabilità e gli attacchi basati su SMS
  • Le TTP uniche per l’estrazione dei dati includono kit di sviluppo software (SDK) maligni, ispezioni approfondite dei pacchetti (DPI), servizi di penetrazione, accesso interno supportato da contratti formali e applicazioni mobili contraffatte.

In questo blog, esamineremo le nostre scoperte, che sottolineano la capacità degli attori di lingua cinese di perdere e diffondere costantemente grandi quantità di dati.

L’importanza dei Threat Actor cinesi

L’importanza degli attori cinesi è significativa poiché questa rete di commercio illegale impatta sia le entità cinesi che le organizzazioni globali, dato che i cybercriminali di lingua cinese mirano sempre più a persone e aziende internazionali. Secondo varie segnalazioni, sebbene non confermate dai laboratori di SpyCloud, da parte di media cinesi all’inizio del 2022, il valore del mercato nero dei dati è stato stimato tra i 100 e i 150 miliardi di yuan. Questa cifra si basa su stime condivise da presunti esperti del settore che hanno parlato direttamente con i media. Nel gennaio 2024, un’agenzia di stampa cinese ha affermato che questa cifra ha superato i 150 miliardi di yuan. SpyCloud Labs non è riuscita a individuare le fonti originali di queste stime. È importante per noi come comunità comprendere la differenza tra fughe di dati pubblicate solo su canali occidentali, fughe di dati pubblicate su canali cinesi e fughe di dati pubblicate su entrambi, poiché la minaccia delle capacità cibernetiche degli attori cinesi continua a crescere. La ricerca concentrata solo sui canali occidentali trascura una base sostanziale di informazioni uniche alle comunità di attori di lingua cinese e raramente viene trasportata attraverso confini definiti linguisticamente.

I risultati della ricerca: Tendenze e TTPs

Telegram ha consentito agli attori con sede in Cina di eludere la sorveglianza a cui potrebbero normalmente essere sottoposti nel loro paese. Questi attori utilizzano servizi di proxy o VPN per connettersi all’app di messaggistica. Gli analisti dei laboratori di SpyCloud hanno osservato l’uso delle seguenti tendenze e TTPs da parte degli attori di minaccia di lingua cinese su Telegram.

Annunci e parole chiave su Telegram
Gli attori cinesi di lingua cinese utilizzano il loro vernacolo per descrivere e pubblicizzare i dati rubati. Questo vernacolo è composto da colloquialismi cinesi e parole chiave utilizzate per trasmettere tipi di dati specifici, obiettivi, vittime e funzioni lavorative delle persone coinvolte nel commercio illegale di dati.

Il sinonimo cinese di “library dragging”, che si riferisce all’hacking di siti e all’estrazione dei loro dati, si traduce approssimativamente in “rimozione dei pantaloni”. Ciò ha portato all’uso comune di “pantsless data” per descrivere database hackerati. All’interno delle comunità criminali cinesi, termini come “pantsless” e altri ad esso correlati vengono spesso utilizzati nelle pubblicità. Comprendere termini gergali come questi può aiutare i ricercatori non solo a identificare e categorizzare accuratamente i dati trapelati, ma anche ad interagire con gli attori in modo più fluido.
SpyCloud Labs ha osservato che queste pubblicità di fuga dei dati seguono principalmente una struttura specifica che oscura alcuni dettagli, come il nome della vittima, probabilmente come misura per mantenere l’accesso a tale entità oltre a proteggere i loro dati dall’intervento delle forze dell’ordine. Invece di rivelare il nome di una specifica azienda, questi attori spesso si riferiranno ai dati violati utilizzando parole chiave affiliate al settore in cui si trovano le entità vittime.

X (Twitter)

Gli analisti dei laboratori di SpyCloud hanno osservato che gli attori minaccia cinesi sfruttano altri siti di social media, come X (formalmente Twitter), per pubblicizzare le loro offerte. I post su X tendono a riflettere quelli trovati su Telegram, poiché si riferiranno ai settori piuttosto che a entità specifiche e utilizzano parole chiave come “SDK/DPI” per dare contesto alle loro offerte. Ulteriori informazioni sugli SDK, DPI e metodi aggiuntivi possono essere trovate nella sezione successiva.

Metodi di esfiltrazione dei dati

I dati diffusi dagli attori cinesi su Telegram sono spesso indicati dal loro valore, relativo al metodo utilizzato per esfiltrarli. I dati “ad alto valore” sono percepiti da questi attori come sia accurati che tempestivi, talmente tempestivi che a volte i dati vengono definiti come violati quasi in “tempo reale”.

Precisione: Accesso tramite login > SMS > DPI > SDK > Strumenti di penetrazione (Crawler/Reptile)
Tempestività: Accesso tramite login > DPI > SMS > SDK > Strumenti di penetrazione (Crawler/Reptile)

Quando questi attori ricevono richieste di dati da potenziali clienti o clienti esistenti, cercheranno di acquisire i dati attraverso i metodi di raccolta ed esfiltrazione più tempestivi e accurati. Se i dati richiesti non possono essere raccolti tramite accesso al login, l’attore potrebbe scegliere di tentare di acquisire i dati attraverso metodi SMS o DPI, e così via.

Accesso tramite login

Secondo i membri della comunità degli attori di minaccia di lingua cinese, i dati più accurati e tempestivi vengono raccolti tramite “accesso diretto al login”. I venditori affermeranno di avere accesso al login alle app o ai siti web che possono facilmente sfruttare, rendendoli l’unica persona coinvolta nell’esfiltrazione dei dati e nella successiva vendita dei dati.

A differenza dei metodi che verranno successivamente affrontati in questo blog, i dati esfiltrati direttamente dalla loro fonte non devono passare di mano tra la fonte, un insider, un intermediario o un broker dati prima di raggiungere il cliente. Ciò consente agli attori di esfiltrare dati con maggiore fiducia e controllo sulla sua fedeltà e tempestività. Gli attori affermeranno di avere autorizzazioni di backend per queste risorse, molto probabilmente acquisite in modo malintenzionato.

Gli attori sono ben versati nelle vulnerabilità di determinate app e i ricercatori dei laboratori di SpyCloud hanno osservato che principalmente pubblicizzano l’accesso al backend a specifiche industrie tra cui lotterie, sport, scacchi e casinò.

Questi dati possono includere sia PII domestici che stranieri.

Hijacking degli SMS, smishing, stazioni base pseudo (PBS)

Gli attori di Telegram con sede in Cina considerano i dati raccolti attraverso vari attacchi focalizzati sugli SMS il secondo tipo più accurato. Questo è in parte dovuto all’interferenza limitata richiesta per intercettare ed esfiltrare informazioni sensibili. Nel caso di attacchi man-in-the-middle (MITM), attacchi di risposta e sniffing degli SMS, una terza parte non autorizzata intercetta le informazioni condivise tra un utente finale e una parte fidata e utilizza tecniche di ingegneria sociale per raccogliere informazioni sensibili. Gli attori utilizzeranno modelli di messaggio con parole chiave che sono note per essere utilizzate da entità principali, come le banche, per ingannare le loro vittime facendo loro credere che i messaggi che stanno ricevendo siano legittimi.

Pseudo base stations  (PBS), che sono tipi maliziosi di mini torri cellulari, possono essere utilizzate per rubare informazioni personali dai dispositivi mobili nelle vicinanze attraverso lo sniffing degli SMS. Le PBS intercettano i segnali GSM legittimi trasmessi tra i dispositivi mobili e le reti di telecomunicazioni. Due delle tre principali compagnie di telecomunicazioni della Cina (China Mobile e China Unicom) utilizzano il GSM. Pertanto, potrebbero esserci fino a centinaia di milioni di utenti cinesi di telefonia mobile su reti abilitate GSM, e un certo numero di cittadini in Cina è anche soggetto a furto di dati da vulnerabilità nel protocollo GSM.

Le reti GSM possono anche essere utilizzate maliziosamente per infettare i dispositivi mobili per accedere ed esfiltrare dati sensibili, sebbene al momento i ricercatori non abbiano confermato se questa sia una tattica comune utilizzata dagli attori di Telegram cinesi.

Questi dati possono essere percepiti come meno tempestivi, rispetto alla loro accuratezza, probabilmente a causa della durata del ciclo di attacco. L’utilizzo di tattiche di ingegneria sociale per raccogliere dati sensibili richiede generalmente più tempo per essere aggregato una volta raccolto. I dati raccolti attraverso l’intercettazione degli SMS possono includere numeri di telefono, provider di telecomunicazioni, codici di verifica e informazioni sulla posizione.

Deep packet inspection (DPI)

I fornitori di telecomunicazioni, come quelli sopra menzionati, utilizzano la deep packet inspection (DPI) per gestire il traffico all’interno delle rispettive reti. Il DPI ispeziona i frame di rete a un livello più olistico e invasivo, spesso attraverso cracking/decrittazione SSL, al fine di classificare correttamente il traffico. A causa di questa decrittazione, le informazioni sensibili sono soggette a esposizione se l’analisi DPI finisce nelle mani sbagliate.

Gli attori di Telegram pubblicizzano dati “DPI”, che spesso includono PII come numeri di telefono, informazioni sulla posizione, indirizzi IP e URL. Questi attori apparentemente sono in grado di accedere a questi dati attraverso accordi formali firmati con China Telecom, China Unicom e China Mobile. Questo indica una volontà di presunti dipendenti legittimi di favorire relazioni illecite con attori basati su Telegram che vendono e condividono questi dati nei rispettivi canali. Non è chiaro se i dipendenti delle telecomunicazioni traggano vantaggio finanziario o altro da questa partnership, poiché esempi specifici di questi accordi formali non sono stati resi pubblici.

DPI tende ad essere composta principalmente da dati domestici, anche se i turisti e gli stranieri possono essere soggetti a furto di dati tramite DPI. Un modo in cui ciò può accadere è se un non residente in Cina visita il paese e acquista una SIM card cinese per avere un accesso persistente alla rete. Quando il telefono tenta di comunicare sulla rete, quel traffico è soggetto a DPI.

Sulla scala dell’accuratezza, il DPI cade esattamente a metà. Questo può essere perché i dati DPI – anche se resi accessibili tramite accesso interno – provengono comunque da una fonte non posseduta dall’attore minaccia che li vende. È considerato il secondo metodo di esfiltrazione dei dati più tempestivo, il che potrebbe essere attribuibile ai tempi di lavorazione dei dati eventualmente espressi all’interno degli accordi formali firmati.

Software development kits (SDK)

I Software development kits  (SDK) sono pacchetti legittimi di strumenti software che vengono raggruppati insieme per essere utilizzati dagli sviluppatori di app. Gli SDK sono spesso sviluppati separatamente dalle applicazioni stesse, lasciando spazio agli attori malintenzionati per produrre i propri SDK da offrire agli sviluppatori. In alcuni casi, ciò include l’acquisizione di SDK da fonti aperte come GitHub, dove attualmente sono ospitati oltre 8.600 repository SDK pubblici. A seconda di come è configurato uno SDK e di come viene successivamente utilizzato dagli sviluppatori per codificare le funzionalità all’interno della loro app, possono essere raccolti ed esfiltrati vari tipi di dati personali e sensibili. Queste informazioni possono includere numeri di telefono, generi, età e informazioni sulla posizione. La maggior parte dei dati degli SDK tende ad essere PII domestica di cittadini cinesi.

Alcuni attori di lingua cinese affermano di avere relazioni con i produttori di telefoni cellulari, suggerendo di aver ottenuto accesso al backend degli SDK delle app native del sistema operativo di un telefono cellulare. La natura esatta di questo tipo di relazione non è chiara e non si sa se vengano utilizzati accordi formali firmati, come nel caso dei broker di dati DPI.

La maggior parte degli attori che pubblicizzano dati degli SDK probabilmente è più distante dalla fonte dei dati rispetto a coloro che affermano di avere accesso al backend. Gli attori sono stati osservati pubblicizzare i loro dati degli SDK con attributi “t+1” e “t+2”. Questi attributi probabilmente si riferiscono alla quantità di tempo in giorni dopo la data di perdita iniziale (t) in cui il cliente riceverà il suo ordine. Queste finestre di uno e due giorni danno apparentemente al venditore abbastanza tempo per ottenere i dati dai loro contatti da consegnare al cliente finale.

Nei canali di Telegram in lingua inglese e in altre lingue occidentali, gli SDK dannosi vengono pubblicizzati sotto il pretesto di campagne di “marketing di affiliazione”, dove gli attori incentivano finanziariamente gli utenti potenziali dei loro SDK con ricavi pubblicitari. Non è chiaro se gli attori con sede in Cina cerchino di incentivare gli sviluppatori a utilizzare i loro SDK dannosi allo stesso modo, poiché c’è meno dibattito pubblico riguardo alla pubblicità dei loro SDK. La mancanza di dibattito pubblico potrebbe suggerire che queste discussioni avvengono in comunità chiuse per proteggere il loro accesso.

Gli SDK sono considerati uno dei metodi di esfiltrazione meno accurati e meno tempestivi. Le persone attente alla sicurezza potrebbero scegliere di limitare la quantità di informazioni personali condivise con un’applicazione o potrebbero consapevolmente inviare informazioni incorrette al fine di proteggere al meglio la propria identità, compromettendo quindi la fedeltà delle informazioni esfiltrate. Sembra che molti venditori di SDK su Telegram siano diversi passaggi distanti dalla fonte dei dati degli SDK, il che significa che queste informazioni devono passare attraverso diverse mani prima di arrivare al cliente, diluendo ulteriormente la loro tempestività e accuratezza.

Strumenti di penetrazione

Gli attori di Telegram cinesi sono stati osservati fare affidamento su entità di terze parti per supportare il loro commercio di dati. Questo può includere strumenti di penetrazione noti come web crawler, applicazioni mobili fraudolente (trojanizzate) e kit di phishing. Questi metodi vengono utilizzati per mirare ai dati oltreoceano e nei casi in cui gli attori non hanno accesso interno o diretto agli SDK o al DPI. Gli analisti dei laboratori di SpyCloud hanno osservato che questi servizi di penetrazione vengono offerti a un prezzo compreso tra 12.000 e 14.000 dollari statunitensi.

Altre sfaccettature dell’ecosistema illecito del commercio dei dati

Dati finanziari CVV/POS

I venditori di dati cinesi rivolgono la loro attenzione alle vittime globali per integrare le loro offerte di dati finanziari. Questo è in parte dovuto alla popolarità dei pagamenti mobili – rispetto alle transazioni dirette con carta di credito – in Cina attraverso app come AliPay e WeChat. Sulla base delle conversazioni pubbliche all’interno di questi canali, sembra che molti attori utilizzino sia lo sniffing delle carte di credito che kit di phishing per mirare alle loro vittime ed esfiltrare dati finanziari. Gli strumenti e i metodi specifici vengono condivisi solo privatamente.

Sebbene i venditori di dati spesso pubblicizzino carte di credito provenienti da una varietà di paesi, molti annunci evidenziano esplicitamente la disponibilità di dati di carte di credito basate negli Stati Uniti e in Giappone, probabilmente a causa dell’alto reddito pro capite in entrambi i paesi. I canali di Telegram che pubblicizzano informazioni sulle carte di credito comunemente utilizzano parole chiave in lingua inglese come “CVV” o “CVV/POS” per riferirsi alle loro offerte di carte di credito, probabilmente per indicare che dispongono di set completi di numeri di carta di credito, compresi i codici CVV.

Gli operatori di questi canali di Telegram a volte rilasciano interi set di “fullz” di carte di credito direttamente in un messaggio del canale o come file di testo, molto probabilmente come prova. Le carte di credito che sono state verificate o su cui è stata eseguita una piccola pre-autorizzazione costeranno più di quelle che non sono state validate.

Social Work Libraries (SGK)

Gli attori minaccia cinesi creano i propri repository centralizzati di PII trapelati in quello che viene definito come Social Work Libraries (SGK). Sembra che una volta che un attore vende un insieme di dati, attendano un certo periodo di tempo e poi caricano quei dati venduti nel loro SGK. Queste biblioteche spesso richiedono agli utenti di registrarsi con un indirizzo email o un nome utente e una password, anche se sembra che non ci siano restrizioni evidenti su chi può registrarsi. Gli utenti registrati possono cercare nel dataset strutturato vari record, tra cui ID QQ, password, indirizzi email e numeri di telefono. La maggior parte degli SGK offre accessi a più livelli, con “utenti gratuiti” (utenti che si sono registrati, ma non hanno depositato alcun BTC sul loro account) in grado di eseguire query di ricerca, ma ottenendo solo risultati limitati ed oscurati, con risultati più completi che sono dietro un paywall. Gli analisti di SpyCloud hanno limitato il campo della loro attuale ricerca ai livelli di biblioteca non retribuiti.

Gli SGK non sono solo un’altra iniziativa redditizia per i venditori di dati, ma consentono anche agli attori minaccia di raccogliere dati relazionali per perpetuare altri tipi di frodi. La ricerca di un numero di telefono in un SGK potrebbe restituire altre informazioni sensibili, come ID account correlati o indirizzi email. Gli attori possono utilizzare questo tipo di informazioni per supportare campagne di phishing, ingegneria sociale e furto di identità.

Conclusioni

In sintesi, il panorama degli attori minaccia cinesi è caratterizzato da un fiorente commercio illecito di dati che ha origine nelle comunità di lingua cinese, ma che ha un impatto su persone in tutto il mondo. Con un’enfasi sui dati in tempo reale, i cybercriminali cinesi lavorano incessantemente per rendere persistentemente disponibili informazioni personali identificabili (PII) ad altri attori per condurre attacchi informatici.

Principali punti chiave:
1. La minaccia si estende oltre i confini cinesi: Chiunque abbia una SIM cinese che si connette a un provider di telecomunicazioni cinese è vulnerabile a questa attività criminale, così come chiunque abbia scaricato un’app con uno SDK dannoso. L’uso di dati di seconda mano e servizi di penetrazione estende anche la minaccia.

2. Il commercio illecito di dati avviene oltre Telegram: Sebbene la nostra ricerca si sia concentrata su attori e violazioni basati su Telegram e X, il commercio illecito di dati cinese si estende sia a forum e mercati clearnet che basati su Tor.

3. Nessuna connessione con le Advanced Persistent Threat (APTs): Quando si parla di cybercriminalità cinese, l’assunzione generalmente tende a essere che sia coinvolto un gruppo sponsorizzato dallo stato. Tuttavia, non ci sono indicazioni evidenti che questi attori basati su Telegram siano affiliati a APT o gruppi di attori cyber dello stato-nazione. Inoltre, la motivazione primaria di questi attori di Telegram sembra essere finanziaria, piuttosto che spionaggio.

4. Forte enfasi sui dati in tempo reale: Forse la differenza più significativa tra il commercio illecito di dati cinese e il mercato occidentale delle fughe di dati è l’enfasi sui dati in tempo reale. Ciò dimostra che questi attori hanno un accesso costante a quantità apparentemente vaste di dati sensibili.

Il team di ricerca di SpyCloud Labs monitora attivamente la comunità degli attori minaccia cinesi per ottenere informazioni su tendenze e TTP, e continuerà a farlo. Per ulteriori informazioni dal nostro team, guardate questo riassunto della nostra analisi sul panorama attuale degli attori minaccia cinesi.

Articolo originale

Guarda il video 

PUBBLICATO DA:<br>Sara Guglielmi
PUBBLICATO DA:
Sara Guglielmi
Marketing

ARTICOLI CORRELATI

Quali sono i vantaggi di una API anti-phishing?

Quali sono i vantaggi di una API anti-phishing?

Gli esseri umani sono l’anello più debole e il phishing sfrutta l’errore umano. Gli autori di phishing inducono un senso di urgenza nei destinatari, quindi i dipendenti sono spesso costretti a compiere azioni dubbie senza pensare alle conseguenze. Il risultato è...

Come cercare malware UEFI utilizzando Velociraptor

Come cercare malware UEFI utilizzando Velociraptor

Le minacce UEFI sono storicamente limitate in numero e per lo più implementate da attori statali come persistenza furtiva. Tuttavia, la recente proliferazione di Black Lotus sul dark web, il modulo di enumerazione Trickbot (fine 2022) e Glupteba (novembre 2023) indica...