L’ecosistema cyber promosso e finanziato dal Governo cinese continua ad essere oggetto di analisi e terreno di scoperte di rilievo. In linea con le ormai numerose rivelazioni degli ultimi anni – le minuziose ricostruzioni del gruppo di ricerca Intrusion Truth, il leak della società tecnologica i-Soon, il tracciamento del tool di monitoraggio EagleMsgSpy e le rivelazioni sul Great Firewall – una recente analisi ha fatto luce sulle attività di due compagnie tecnologiche presumibilmente correlate al Ministero per la Sicurezza di Stato (MSS).

BIETA e la sua controllata CIII sarebbero impegnate in attività di supporto tecnologico al MSS e alle organizzazioni di intelligence cinesi fornendo loro, fra l’altro, soluzioni avanzate basate sulla steganografia.

Lo stretto legame tra front company, dipartimenti governativi e università

BIETA (Beijing Institute of Electronics Technology and Application) e CIII (Beijing Sanxin Times Technology Co., Ltd.) sarebbero due front company impegnate nella modernizzazione dell’apparato di sicurezza di Pechino e, in particolare, del MSS.

BIETA ha sede centrale in un complesso di edifici adiacente a quello che ospita, a Pechino, il quartier generale del MSS e corrisponderebbe al “Primo Istituto di ricerca” del Ministero. L’Istituto, noto come “Squadra nazionale per la sicurezza informatica”, è l’organismo che ha progettato e implementato il sistema di sorveglianza di massa Skynet, in collaborazione con il Dipartimento di Pubblica Sicurezza della Regione Autonoma Uigura dello Xinjiang.

Quattro figure di alto livello di BIETA hanno ricoperto ruoli istituzionali o di consulenza per organi ufficiali del Governo cinese. In particolare, You Xingang, capo della società dal 2008 al 2013, è stato anche ricercatore presso il Primo Istituto di Ricerca del MSS. Inoltre, Zhou Linna, che vi ha lavorato dal 1999 al 2017, è professoressa dell’Università di Relazioni Internazionali (UIR), ateneo subordinato al MSS e dichiaratamente correlato alla compagnia tecnologica.

CIII si presenta sul proprio sito web come un’impresa di “proprietà di tutto il popolo”, impegnata in numerose attività, fra cui la manutenzione di piattaforme abilitate alla navigazione satellitare Beidou e la fornitura di servizi relativi alla simulazione di ambienti di rete, ai penetration test e alla modellizzazione di attrezzature e operazioni militari. In alcune attività la compagnia avrebbe ricevuto valutazione positiva dal China Information Technology Security Evaluation Centre, il quale svolgerebbe numerose funzioni, fra cui il controllo del database nazionale delle vulnerabilità (CNNVD), ma anche la gestione diretta degli APT. Infine, CIII sostiene di fornire supporto all’Esercito popolare di liberazione con i suoi prodotti e servizi.

La steganografia: una tecnologia importata e implementata per gli APT

Sia CIII che BIETA sarebbero impegnate nello sviluppo e nella vendita di apparecchiature per indagini forensi e di controspionaggio. Inoltre, entrambe sarebbero, l’una importatrice di tecnologie steganografiche di produzione estera, l’altra sviluppatrice di nuovi metodi basati sulla steganografia. CIII ha anche ottenuto i diritti d’autore per software relativi a questa tecnica, come ad esempio un sistema di analisi approfondita dei segreti di conversione da audiovisivo a voce” e un “metodo di differenziazione forense delle immagini JPEG basato sull’ottimizzazione delle caratteristiche”, entrambi registrati nel 2017.

I numeri forniscono una chiara rappresentazione del loro impegno. Facendo una ricerca per parole chiave nei titoli e negli abstract, è emerso che su 87 pubblicazioni accademiche con almeno un autore affiliato al BIETA – risalenti agli anni 1991-2023 – almeno 40 (corrispondenti al 46% del totale) sono relative alla steganografia. Inoltre, sempre BIETA ha ricevuto finanziamenti dal Fondo Nazionale per le Scienze Naturali, dal Programma 973 e dal Programma 863 per la ricerca in questo campo. A chiudere il giro, risulta che stagisti dell’UIR hanno lavorato in azienda su questioni relative alla steganografia.

L’uso di metodi steganografici in attacchi state-sponsored è attestato da anni, sia da parte di avversari russi, che nordcoreani. Recentemente, una formazione brasiliana chiamata Caminho Loader ha impiegato la steganografia Least Significant Bit (LSB) per nascondere payload .NET all’interno di file immagine. Quanto ai gruppi cinesi, si può retrocedere almeno ad un’analisi del 2013 su APT1 (Unit 61338 dell’Esercito Popolare di Liberazione), che cita questa tecnica fra le TTP dell’avversario. Inoltre, è stata sfruttata da Mirage per distribuire malware e da Leviathan per trasmettere segreti commerciali rubati e dati idroacustici proprietari tramite immagini innocue. Nel 2022, Pirate Panda e il suo sottogruppo Witchetty hanno utilizzato la steganografia per codificare all’interno di file immagine le backdoor TClinet e Stegmap.

Le ricerche di BIETA fanno riferimento, oltre a file JPG, anche all’uso di MP3 (audio) e MP4 (video) per veicolare informazioni in modo segreto.

Per avere un’idea della capacità di innovazione di queste compagnie, si consideri che nel 2019, durante una conferenza su steganografia e intelligenza artificiale, un ricercatore BIETA aveva presentato un progetto su Generative Adversarial Networks (GAN), suggerendo questo come un ulteriore campo di ricerca per l’organizzazione.

TS-Intelligence

Le informazioni riportate sono l’esito del lavoro di raccolta e analisi svolto dagli specialisti del team Theat Intelligence & Response di Telsy con l’ausilio della piattaforma TS-Intelligence, una soluzione proprietaria, flessibile e personalizzabile, che fornisce alle organizzazioni un panorama di rischio dettagliato.

Si presenta come una piattaforma fruibile via web e full-API che può essere azionata all’interno dei sistemi e delle infrastrutture difensive dell’organizzazione, con l’obiettivo di rafforzare la protezione nei confronti delle minacce cibernetiche complesse.

La costante attività di ricerca e analisi sui threat actors e sulle minacce emergenti in rete, sia in ambito APT che cyber crime, produce un continuo flusso informativo di natura esclusiva che viene messo a disposizione delle organizzazioni in real-time ed elaborato in report tecnici, strategici ed executive.

Scopri di più sui nostri servizi di Intelligence.