La Oficina Federal de Investigaciones (FBI) de EE. UU. ha solicitado la ayuda del público en una investigación que involucra la violación de dispositivos periféricos y redes informáticas pertenecientes a empresas y entidades gubernamentales.
“Un grupo de amenazas persistentes avanzadas supuestamente creó e implementó malware (CVE-2020-12271) como parte de una amplia serie de intrusiones informáticas indiscriminadas diseñadas para exfiltrar datos confidenciales de los firewalls de todo el mundo”, dijo la agencia. dicho.
“El FBI está buscando información sobre la identidad de los individuos responsables de estas intrusiones cibernéticas”.
El desarrollo se produce tras una serie de informes publicado por el proveedor de ciberseguridad Sophos que relata un conjunto de campañas entre 2018 y 2023 que aprovecharon sus dispositivos de infraestructura de borde para implementar malware personalizado o reutilizarlo como servidores proxy para evadir la detección.
La actividad maliciosa, denominada Cuenca del Pacífico y diseñado para llevar a cabo actividades de vigilancia, sabotaje y ciberespionaje, se ha atribuido a varios grupos patrocinados por el estado chino, incluidos APT31, APT41 y Volt Typhoon. El primer ataque se remonta a finales de 2018, cuando un ciberataque tuvo como objetivo Cyberoam, la filial india de Sophos.
“Los adversarios han atacado infraestructuras críticas e instalaciones gubernamentales tanto pequeñas como grandes, principalmente en el sur y sudeste de Asia, incluidos proveedores de energía nuclear, un aeropuerto de la capital nacional, un hospital militar, el aparato de seguridad del Estado y los ministerios del gobierno central”, dijo Sophos.
Se identificó que algunos de los ataques masivos posteriores aprovechaban varias vulnerabilidades de día cero en los firewalls de Sophos: CVE-2020-12271, CVE-2020-15069, CVE-2020-29574, CVE-2022-1040Y CVE-2022-3236 – comprometer dispositivos y entregar cargas útiles tanto al firmware del dispositivo como a aquellos ubicados dentro de la LAN de la organización.
“A partir de 2021, los adversarios parecieron cambiar su enfoque de ataques generalizados e indiscriminados a ataques “prácticos” altamente dirigidos contra entidades específicas: agencias gubernamentales, infraestructura crítica, organizaciones de investigación y desarrollo, proveedores de servicios de salud, comercio minorista. finanzas. , organizaciones militares y del sector público, principalmente en la región de Asia y el Pacífico”, dijo.
A partir de mediados de 2022, los atacantes supuestamente centraron sus esfuerzos en obtener un acceso más profundo a organizaciones específicas, evitar la detección y recopilar más información mediante la ejecución manual de comandos y la implementación de software malicioso como Asnarök, Gh0st RAT y Pygmy Goat, un sofisticado cable de puerta trasera. para proporcionar acceso remoto persistente a los firewalls de Sophos XG y posiblemente a otros dispositivos Linux.
“Si bien no contiene ninguna técnica nueva, Pygmy Goat es bastante sofisticado en la forma en que permite al actor interactuar con él a pedido, mientras se integra con el tráfico normal de la red”, dijo el Centro de la Red Nacional de Seguridad Cibernética del Reino Unido. (NCSC). dicho.
“El código en sí es limpio, con funciones breves y bien estructuradas que facilitan la extensibilidad futura, y se verifican errores en todo momento, lo que sugiere que fue escrito por uno o más desarrolladores competentes”.
Se descubrió que la puerta trasera, un nuevo rootkit que toma la forma de un objeto compartido (“libsophos.so”), se entregó tras la explotación de CVE-2022-1040. El uso del rootkit se observó entre marzo y abril de 2022 en un dispositivo gubernamental y de un socio tecnológico, y nuevamente en mayo de 2022 en una máquina en un hospital militar con sede en Asia.
Se atribuyó al trabajo de un actor de amenazas chino rastreado internamente por Sophos como Tstark, que comparte vínculos con la Universidad de Ciencia y Tecnología Electrónica de China (UESTC) en Chengdu.
Tiene la “capacidad de escuchar y responder a paquetes ICMP especialmente diseñados que, si los recibe un dispositivo infectado, abrirían un proxy SOCKS o una conexión inversa a una dirección IP elegida por el atacante”.
Sophos dijo que frustró las campañas desde el principio al implementar su propio implante de kernel personalizado en dispositivos propiedad de actores de amenazas chinos para realizar investigaciones sobre exploits maliciosos, incluidas máquinas propiedad del Instituto de Investigación Double Helix Sichuan Silence Information Technology de China, ganando exposición a un virus. “exploit de ejecución remota de código sigiloso y previamente desconocido” en julio de 2020.
Un escaneo de seguimiento realizado en agosto de 2020 condujo al descubrimiento de una vulnerabilidad de ejecución remota de código posterior a la autenticación de menor gravedad en un componente del sistema operativo, agregó la compañía.
Además, la empresa propiedad de Thoma Bravo dijo que observó una tendencia a recibir informes de recompensas por errores “muy útiles y sospechosos” (CVE-2020-12271 y CVE-2022-1040) de la empresa al menos dos veces de lo que ella sospecha. individuos con conexiones. a institutos de investigación con sede en Chengdu antes de que se utilicen con fines maliciosos.
Los resultados son significativos, sobre todo porque muestran que se están llevando a cabo actividades activas de investigación y desarrollo de vulnerabilidad en la región de Sichuan y luego transmitidas a varios grupos de primera línea patrocinados por el estado chino con objetivos, diferentes capacidades y técnicas posteriores a la explotación.
“Con Pacific Rim, observamos […] “Estos exploits parecen haber sido compartidos con atacantes patrocinados por el estado, lo que tiene sentido para un estado-nación que exige dicho intercambio a través de sus leyes de divulgación de vulnerabilidades.
El aumento de los ataques a dispositivos de red perimetrales también coincide con una evaluación de amenazas realizada por el Centro Canadiense de Seguridad Cibernética (Cyber Center), que encontró que al menos 20 redes del gobierno canadiense han sido comprometidas por equipos de piratería patrocinados por el estado chino durante el últimos cuatro años para avanzar en su estrategia. intereses estratégicos, económicos y diplomáticos.
También acusó a los actores chinos de amenazar con atacar a su sector privado para obtener una ventaja competitiva mediante la recopilación de información confidencial y patentada, al tiempo que apoya misiones de “represión transnacional” que buscan atacar a uigures, tibetanos, activistas prodemocracia y partidarios de la independencia de Taiwán.
Los actores chinos de amenazas cibernéticas “han comprometido y mantenido el acceso a múltiples redes gubernamentales durante los últimos cinco años, recopilando comunicaciones y otra información valiosa”, dice. dicho. “Los actores de amenazas enviaron correos electrónicos que contenían imágenes de seguimiento a los destinatarios para realizar un reconocimiento de la red”.