Webworm è il nome di un gruppo di cyber spionaggio cinese che ha messo nel mirino anche l’Italia, e la sua ultima operazione racconta bene quanto siano diventati raffinati gli attacchi che arrivano da Pechino. Quando si pensa alle minacce informatiche contro istituzioni e aziende, la mente corre subito agli “hacker russi”. Eppure, da qualche anno a questa parte, sul gradino più alto del podio ci stanno stabilmente i cyber spioni made in China. Non è solo questione di quantità: i gruppi che lavorano per il governo cinese giocano su un altro piano, con strumenti sofisticati e tecniche che mescolano creatività e strategia.
L’ultima campagna finita sotto i riflettori ha colpito un gran numero di organizzazioni europee, con il rischio concreto che potesse allargarsi ancora di più. Al centro c’è proprio Webworm, che secondo gli analisti di Eset rappresenta la vera punta di diamante del cyber spionaggio cinese.
Gli strumenti che non ti aspetti
Tutto è cominciato da alcune comunicazioni sospette su Discord. “La scoperta dell’operazione avviata da Webworm è partita dall’analisi di alcune comunicazioni sospette su Discord”, spiega Robert Lipovsky di Eset, “ed è la prima volta che registriamo un simile utilizzo della piattaforma da parte di un gruppo cyber”. Discord, per chi non la conoscesse, è quell’app fatta di chat testuali, chiamate vocali e videochiamate, popolarissima tra i videogiocatori e tra i più giovani. Solo che qui gli hacker l’hanno piegata a tutt’altro scopo: nascondere le comunicazioni tra i computer infettati dalla backdoor EchoCreep e i server Command & Control, quelli che permettono di inviare ordini o rubare dati a distanza.
In pratica ogni macchina compromessa veniva collegata a un account Discord, e i comandi arrivavano sotto forma di messaggi crittografati. Gli analisti ne hanno trovati 433 e, leggendoli, sono risaliti alle vittime. “I nomi utilizzati nella piattaforma contenevano l’indirizzo Ip dei pc infetti”, racconta Lipovsky. “In alcuni casi anche il nome assegnato alla macchina”. Tecniche simili erano già state viste su Telegram, ma con Discord siamo davanti a una novità vera. E non finisce qui: un’altra backdoor sfrutta Microsoft Graph, l’interfaccia che in ambiente Windows tiene insieme la comunicazione tra Outlook, Teams, OneDrive, calendari e altri servizi. I file finivano nascosti dentro le cartelle di OneDrive, usando di fatto l’infrastruttura della vittima per occultare gli strumenti che servivano a violarla.
Malware e informazioni nascoste nel cloud
L’arsenale degli hacker cinesi è impressionante: un misto di software open source e programmi sviluppati su misura dal gruppo. Per coprirne le tracce hanno usato un trucco semplice, cioè nasconderli in bella vista. E lo strumento scelto, paradossalmente, è ancora un servizio della galassia Microsoft: GitHub. È la piattaforma dove milioni di sviluppatori ospitano e scaricano progetti software ogni giorno, quindi il traffico che la riguarda non desta sospetti. Gli uomini di Webworm hanno preso un fork, cioè una copia indipendente dell’originale, del repository dedicato a WordPress, il software per siti web più usato al mondo, e lo hanno trasformato in un magazzino da cui scaricare malware di ogni tipo.
Durante le indagini sono saltate fuori altre stranezze. Seguendo origine e destinazione del traffico, gli analisti hanno individuato un servizio cloud su Amazon Web Services dove venivano conservate le configurazioni di altri strumenti dei criminali. “Si tratta di un server registrato a nome di un sito di e-commerce spagnolo specializzato nella vendita di gioielli online”, spiega Lipovsky. “È possibile che gli hacker di Webworm siano riusciti a rubarne le credenziali, oppure che il servizio non fosse configurato bene”. Proprio lì dentro è stato trovato un documento con i dettagli di configurazione di una macchina virtuale usata da un’organizzazione pubblica italiana.
Le ipotesi sull’attacco iniziale
L’indagine ha chiarito molto su come Webworm nascondeva la propria attività, ma non spiega come abbia ottenuto l’accesso ai computer colpiti. “Quando si porta avanti un’indagine di questo tipo si riesce a capire come stanno agendo gli hacker, ma non è facile ricostruire come abbiano iniziato”, ammette Lipovsky. “Durante le nostre analisi abbiamo visto che Webworm ha avviato scansioni in cerca di vulnerabilità verso i web server di 56 potenziali obiettivi in Spagna, Ungheria, Belgio, Repubblica Ceca, Serbia e Nigeria”. L’esperto non si sbilancia, ma sospetta che sia stata proprio questa attività a portare alla prima compromissione delle macchine. Gli hacker cinesi, intanto, restano tra i più abili nello sfruttamento delle vulnerabilità software, in uno scenario che con il contributo dell’intelligenza artificiale rischia solo di complicarsi.