Il governo degli Stati Uniti d'America ha confermato il furto di dati sensibili da parte di un gruppo hacker, a danno di un'organizzazione del settore della difesa (DIB).
Il furto è stato perpetrato tramite un nuovo malware personalizzato, noto come CovalentStealer e il framework Impacket (una raccolta di classi Python), e l'intera operazione avrebbe avuto una durata di 10 mesi, con la possibile partecipazione di più gruppi hacker.
Il primo accesso sarebbe avvenuto mediante un server Microsoft Exchange, compromesso nel mese di gennaio dell'anno scorso, di un'organizzazione impegnata in attività di ricerca, progettazione, produzione e manutenzione di sistemi di armamento militari, inclusi componenti e ricambi.
È stato pubblicato un rapporto congiunto della CISA (agenzia dedicata a sicurezza e infrastrutture informatiche) e dell'FBI, che fornisce i dettagli tecnici raccolti durante le indagini, svolte tra novembre 2021 e gennaio 2022.
Oltre a CovalentStealer e Impacket, i responsabili dell'attacco si sono avvalsi del trojan di accesso remoto (RAT) HyperBro e diversi campioni di webshell China Chopper.
Non si conosce l'origine dei responsabili, né il vettore di ingresso iniziale, tuttavia il governo USA ha confermato che la rete dell'organizzazione è stata compromessa da diversi gruppi di hacker. Sono state impiegate varie tecniche, tutte analizzate nel rapporto CISA/FBI, e in sostanza, sono stati esfiltrati diversi dati sensibili, archiviati manualmente con WinRAR, relativi a contratti e altre informazioni del genere archiviati su unità condivise.
Un aspetto interessante è che China Chopper ha origini cinesi, tuttavia il set di webshell ha guadagnato una certa popolarità fra gli hacker di tutto il mondo, tanto da essere adottato da numerosi gruppi al di fuori della Cina.