El Estado chino patrocina 馃攷 los 煤ltimos ataques contra la infraestructura cr铆tica de EE.UU.
La infraestructura cr铆tica asociada a organizaciones gubernamentales de Estados Unidos est谩 siendo atacada por el grupo Volt Typhoon a trav茅s de dispositivos de redes SOHO. Check Point Research informa de la detecci贸n de una recurrencia en los ciberataques enfocados a los dispositivos de red por parte de los grupos APT patrocinados por el Estado chino
El pasado mi茅rcoles, Microsoft emiti贸 una advertencia en la que afirmaba que piratas inform谩ticos patrocinados por el Estado chino hab铆an puesto en peligro infraestructuras cr铆ticas de diversos sectores, entre ellos organizaciones gubernamentales y de comunicaciones.
Un ataque que contin煤a el reciente suceso descubierto e informado por Check Point Research, la divisi贸n de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor l铆der especializado en ciberseguridad a nivel mundial, en el que el grupo APT Camaro Dragon, patrocinado por el Estado chino, dirig铆a diferentes ataques a entidades europeas de asuntos exteriores.
Seg煤n el an谩lisis exhaustivo realizado por nuestros investigadores, estos ataques implantaban un firmware malicioso adaptado para los routers TP-Link, incluyendo una puerta trasera personalizada llamada «Horse Shell» que permite a los atacantes mantener un acceso persistente, construir una infraestructura an贸nima y habilitar el movimiento lateral entre las redes comprometidas.
Ahora, Estados Unidos, Australia, Canad谩, Nueva Zelanda y Reino Unido, pa铆ses integrantes la red de inteligencia Five Eyes, han emitido un comunicado conjunto «para poner de relieve un conjunto de actividades de inter茅s descubierto recientemente y asociado a un ciberagente patrocinado por el Estado de la Rep煤blica Popular China (RPC), tambi茅n conocido como Volt Typhoon«.
Tal y como detalla Microsoft en su blog oficial, Volt Typhoon est谩 dirigiendo todo su tr谩fico de red a sus objetivos a trav茅s de dispositivos de redes SOHO comprometidos, ampliando la efectividad hasta routers y otros productos de fabricantes globales como ASUS, Cisco, D-Link, NETGEAR y Zyxel. A trav茅s de esta vulnerabilidad, los ciberdelincuentes pueden exponer las interfaces de gesti贸n HTTP o SSH.
El reciente aviso se帽ala una variedad de t茅cnicas empleadas por estos actores de amenazas, pero de particular inter茅s es su enfoque en «vivir de la tierra» y la explotaci贸n de dispositivos de red como routers.
Sin embargo, Estados Unidos no es el 煤nico objetivo del espionaje. En un aviso anterior de la CISA, en 2021, se enumeraban t茅cnicas comunes utilizadas por las APT patrocinadas por China. Entre ellas, mencionan que los atacantes utilizan routers vulnerables como parte de su infraestructura operativa para eludir la detecci贸n y albergar actividades de mando y control.
Tambi茅n en 2021, el CERT-FR inform贸 de una gran campa帽a llevada a cabo por el actor de amenazas APT31, afiliado a China. Descubrieron que el actor utilizaba una red en malla de routers comprometidos orquestada mediante un malware al que apodaron «Pakdoor».
Por 煤ltimo, en el pasado mes de marzo de 2023, Check Point Research desvel贸 un foco de ataques de espionaje de origen chino contra entidades gubernamentales del sudeste asi谩tico, en particular naciones con reivindicaciones territoriales similares o proyectos de infraestructuras estrat茅gicas como Vietnam, Tailandia e Indonesia.
Los dispositivos de red, como los routers, generalmente considerados como el per铆metro del entorno digital de las empresas, sirven como primer punto de contacto para la comunicaci贸n basada en Internet. Son responsables de enrutar y gestionar el tr谩fico de red, tanto leg铆timo como potencialmente malicioso. Al comprometer estos dispositivos, los atacantes pueden mezclar su tr谩fico con las comunicaciones leg铆timas, lo que dificulta considerablemente su detecci贸n. Estos dispositivos, cuando se reconfiguran o comprometen, tambi茅n permiten a los atacantes tunelizar las comunicaciones a trav茅s de la red, anonimizando eficazmente su tr谩fico y eludiendo los m茅todos de detecci贸n tradicionales.
Esta estrategia tambi茅n complementa el enfoque de «vivir de la tierra» de Volt Typhoon. En lugar de utilizar malware, que puede ser detectado por muchos sistemas de seguridad modernos, este grupo aprovecha las herramientas de administraci贸n de red integradas, como wmic, ntdsutil, netsh y PowerShell, reduciendo as铆 su huella medioambiental. Adem谩s, este m茅todo permite que sus actividades maliciosas pasen inadvertidas entre otras tareas administrativas benignas, lo que dificulta a los encargados de ciberseguridad la identificaci贸n de los atacantes entre los usuarios leg铆timos.
Estas t茅cnicas tambi茅n permiten al grupo APT mantener una persistencia dentro de las redes infectadas. El compromiso de los dispositivos de red de peque帽as oficinas/oficinas dom茅sticas (SOHO) puede utilizarse como infraestructura intermedia para ocultar su verdadero origen y mantener el control sobre una red incluso si se descubren y eliminan otros elementos de su operaci贸n, haciendo creer a las v铆ctimas que la amenaza ha sido suprimida.
El descubrimiento de la naturaleza agn贸stica de este firmware malicioso indica que una amplia gama de dispositivos y vendedores pueden estar en peligro. El objetivo final de esta investigaci贸n es contribuir a mejorar la postura de seguridad de empresas y particulares por igual. Por eso, los especialistas de Check Point Software contin煤an recomendando mantener cualquier dispositivo de red actualizado y protegido, y permanecer alerta ante cualquier actividad sospechosa dentro de nuestra red.
El pasado mi茅rcoles, Microsoft emiti贸 una advertencia en la que afirmaba que piratas inform谩ticos patrocinados por el Estado chino hab铆an puesto en peligro infraestructuras cr铆ticas de diversos sectores, entre ellos organizaciones gubernamentales y de comunicaciones.
Un ataque que contin煤a el reciente suceso descubierto e informado por Check Point Research, la divisi贸n de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor l铆der especializado en ciberseguridad a nivel mundial, en el que el grupo APT Camaro Dragon, patrocinado por el Estado chino, dirig铆a diferentes ataques a entidades europeas de asuntos exteriores.
Seg煤n el an谩lisis exhaustivo realizado por nuestros investigadores, estos ataques implantaban un firmware malicioso adaptado para los routers TP-Link, incluyendo una puerta trasera personalizada llamada «Horse Shell» que permite a los atacantes mantener un acceso persistente, construir una infraestructura an贸nima y habilitar el movimiento lateral entre las redes comprometidas.
Ahora, Estados Unidos, Australia, Canad谩, Nueva Zelanda y Reino Unido, pa铆ses integrantes la red de inteligencia Five Eyes, han emitido un comunicado conjunto «para poner de relieve un conjunto de actividades de inter茅s descubierto recientemente y asociado a un ciberagente patrocinado por el Estado de la Rep煤blica Popular China (RPC), tambi茅n conocido como Volt Typhoon«.
Tal y como detalla Microsoft en su blog oficial, Volt Typhoon est谩 dirigiendo todo su tr谩fico de red a sus objetivos a trav茅s de dispositivos de redes SOHO comprometidos, ampliando la efectividad hasta routers y otros productos de fabricantes globales como ASUS, Cisco, D-Link, NETGEAR y Zyxel. A trav茅s de esta vulnerabilidad, los ciberdelincuentes pueden exponer las interfaces de gesti贸n HTTP o SSH.
Los dispositivos de red en el punto de mira… otra vez
Los ataques originados por grupos de ciberespionaje con base en China no son nuevos para Check Point Research ni la comunidad de ciberseguridad. Los grupos APT chinos como Volt Typhoon cuentan ya con su propio historial de campa帽as. Su principal motivaci贸n suele ser la recopilaci贸n de inteligencia estrat茅gica, la interrupci贸n selectiva, o simplemente la afirmaci贸n de un punto de apoyo en las redes para futuras operaciones.El reciente aviso se帽ala una variedad de t茅cnicas empleadas por estos actores de amenazas, pero de particular inter茅s es su enfoque en «vivir de la tierra» y la explotaci贸n de dispositivos de red como routers.
Sin embargo, Estados Unidos no es el 煤nico objetivo del espionaje. En un aviso anterior de la CISA, en 2021, se enumeraban t茅cnicas comunes utilizadas por las APT patrocinadas por China. Entre ellas, mencionan que los atacantes utilizan routers vulnerables como parte de su infraestructura operativa para eludir la detecci贸n y albergar actividades de mando y control.
Tambi茅n en 2021, el CERT-FR inform贸 de una gran campa帽a llevada a cabo por el actor de amenazas APT31, afiliado a China. Descubrieron que el actor utilizaba una red en malla de routers comprometidos orquestada mediante un malware al que apodaron «Pakdoor».
Por 煤ltimo, en el pasado mes de marzo de 2023, Check Point Research desvel贸 un foco de ataques de espionaje de origen chino contra entidades gubernamentales del sudeste asi谩tico, en particular naciones con reivindicaciones territoriales similares o proyectos de infraestructuras estrat茅gicas como Vietnam, Tailandia e Indonesia.
¿Por qu茅 los dispositivos edge son el foco de los ciberataques?
En los 煤ltimos a帽os se observa un creciente inter茅s de los grupos de ciberatacantes chinos por comprometer los dispositivos perif茅ricos, con el objetivo de construir infraestructuras C&C resistentes y m谩s an贸nimas para afianzarse dentro de las redes de sus objetivos.Los dispositivos de red, como los routers, generalmente considerados como el per铆metro del entorno digital de las empresas, sirven como primer punto de contacto para la comunicaci贸n basada en Internet. Son responsables de enrutar y gestionar el tr谩fico de red, tanto leg铆timo como potencialmente malicioso. Al comprometer estos dispositivos, los atacantes pueden mezclar su tr谩fico con las comunicaciones leg铆timas, lo que dificulta considerablemente su detecci贸n. Estos dispositivos, cuando se reconfiguran o comprometen, tambi茅n permiten a los atacantes tunelizar las comunicaciones a trav茅s de la red, anonimizando eficazmente su tr谩fico y eludiendo los m茅todos de detecci贸n tradicionales.
Esta estrategia tambi茅n complementa el enfoque de «vivir de la tierra» de Volt Typhoon. En lugar de utilizar malware, que puede ser detectado por muchos sistemas de seguridad modernos, este grupo aprovecha las herramientas de administraci贸n de red integradas, como wmic, ntdsutil, netsh y PowerShell, reduciendo as铆 su huella medioambiental. Adem谩s, este m茅todo permite que sus actividades maliciosas pasen inadvertidas entre otras tareas administrativas benignas, lo que dificulta a los encargados de ciberseguridad la identificaci贸n de los atacantes entre los usuarios leg铆timos.
Estas t茅cnicas tambi茅n permiten al grupo APT mantener una persistencia dentro de las redes infectadas. El compromiso de los dispositivos de red de peque帽as oficinas/oficinas dom茅sticas (SOHO) puede utilizarse como infraestructura intermedia para ocultar su verdadero origen y mantener el control sobre una red incluso si se descubren y eliminan otros elementos de su operaci贸n, haciendo creer a las v铆ctimas que la amenaza ha sido suprimida.
El descubrimiento de la naturaleza agn贸stica de este firmware malicioso indica que una amplia gama de dispositivos y vendedores pueden estar en peligro. El objetivo final de esta investigaci贸n es contribuir a mejorar la postura de seguridad de empresas y particulares por igual. Por eso, los especialistas de Check Point Software contin煤an recomendando mantener cualquier dispositivo de red actualizado y protegido, y permanecer alerta ante cualquier actividad sospechosa dentro de nuestra red.
No hay comentarios.