Dall’inizio del 2018, FireEye, attraverso i team di FireEye as a Service, Mandiant Consulting e iSIGHT Intelligence, ha seguito ondate di intrusioni rivolte a entità ingegneristiche e marittime, in particolare quelle connesse alle questioni del Mar Cinese Meridionale.
La campagna è collegata a un gruppo di attori cinesi sospettati di cyber spionaggio che monitoriamo dal 2013, soprannominato TEMP.Periscope.
Il Gruppo è stato, inoltre, segnalato come “Leviathan” da altre aziende di sicurezza.
La campagna attuale, è una netta escalation dell’attività rilevata a partire dall’estate 2017. Come molti altri attori di cyber spionaggio cinesi, TEMP.Periscope è recentemente tornato in attività conducendo operazioni con un kit di strumenti aggiornato. Gli obiettivi noti di questo Gruppo hanno interessi nell’industria marittima e in realtà che si occupano di ingegneria, inclusi istituti di ricerca, organizzazioni accademiche e aziende private negli Stati Uniti.
Non a caso, attivo almeno dal 2013, TEMP.Periscope si è concentrato principalmente su obiettivi legati proprio al settore marittimo in più mercati verticali. Tra questi aziende ingegneristiche, di spedizioni e trasporto, produzione, difesa, uffici governativi e università di ricerca. Tuttavia, il Gruppo ha anche agito su aziende di servizi professionali/di consulenza, industria high-tech, sanità e media/editoria.
Le vittime identificate sono state per lo più negli Stati Uniti, sebbene siano state colpite organizzazioni anche in Europa e almeno una ad Hong Kong. TEMP.Periscope si sovrappone per target, tattiche, tecniche e procedure (TTPs) con TEMP.Jumper.
I prodotti di FireEye dispongono di un solido sistema di rilevamento per il malware utilizzato in questa campagna.
