È stato soprannominato ChamelGang il nuovo gruppo APT responsabile di una serie di attacchi mirati contro aziende di produzione di carburante, energia e dell'industria aeronautica di Russia, Stati Uniti, India, Nepal, Taiwan e Giappone. Il gruppo, sconosciuto in precedenza, ha l'obiettivo di rubare dati dalle reti compromesse.

L'identificazione è opera dei ricercatori di Positive Technologies, che hanno collezionato interessanti informazioni. La prima è la capacità camaleontica degli attaccanti, che mascherano il proprio malware e l'infrastruttura di rete dietro a servizi legittimi di Microsoft, TrendMicro, McAfee, IBM e Google.

I primi attacchi risalgono a marzo 2021. In un caso esaminato dai ricercatori, gli attaccanti hanno messo in scena un attacco alla supply chain. Dopo avere compromesso i sistemi di una filiale, hanno avuto accesso all'infrastruttura dell'azienda target.

I ricercatori non hanno diffuso il nome della vittima, ma hanno fatto notare che gli attaccanti hanno sfruttando una falla in Red Hat JBoss Enterprise Application (CVE-2017-12149, chiusa da diverso tempo) per eseguire da remoto comandi sugli host infetti e distribuire payload dannosi. Questi ultimi hanno consentito all'APT di lanciare il malware con privilegi elevati, muoversi lateralmente attraverso la rete e alla fine sganciare una backdoor soprannominata DoorMe.

In un successivo attacco ad agosto sono state sfruttate delle vulnerabilitàdei server Microsoft Exchange (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207). Questa volta la vittima era un'azienda russa nel settore della produzione aeronautica. L'attacco è stato ricondotto allo stesso APT per l'installazione di una versione modificata dell'impianto DoorMe, che mostrava funzionalità estese e la capacità di eseguire comandi arbitrari e operazioni sui file.

I ricercatori fanno notare che il settore della produzione di energia, carburante e aereonautica è fra quelli maggiormente bersagliati dagli attacchi informatici. Il gruppo APT in questione non ha aggiunto un elemento differenziante nelle vittime, e i suoi obiettivi non sono nuovi. Come fanno notare i ricercatori, l'84% degli attacchi dello scorso anno a questo settore erano mirati al furto di dati.

Quello che preoccupa è semmai la capacità degli attaccanti di operare indisturbati, che è preoccupante per via delle gravi conseguenze a cui si può andare incontro. Un sabotaggio di una infrastruttura critica di questo tipo può provocare disagi e gravi danni alle popolazioni.