La Oficina Federal de Investigaciones (FBI) de EE. UU. ha buscado ayuda del público en relación con una investigación que involucra la violación de dispositivos periféricos y redes informáticas pertenecientes a empresas y entidades gubernamentales.
“Un grupo de amenazas persistentes avanzadas supuestamente creó e implementó malware (CVE-2020-12271) como parte de una serie generalizada de intrusiones informáticas indiscriminadas diseñadas para exfiltrar datos confidenciales de los firewalls en todo el mundo”, dijo la agencia.
“El FBI está buscando información sobre las identidades de los individuos responsables de estas intrusiones cibernéticas”.
El desarrollo se produce a raíz de una serie de informes publicados por el proveedor de ciberseguridad Sophos que relatan una serie de campañas entre 2018 y 2023 que explotaron sus dispositivos de infraestructura de borde para implementar malware personalizado o reutilizarlos como servidores proxy para evadir la detección.
La actividad maliciosa, cuyo nombre en código es Pacific Rim y está diseñada para realizar vigilancia, sabotaje y ciberespionaje, se ha atribuido a múltiples grupos patrocinados por el estado chino, incluidos APT31, APT41 y Volt Typhoon. El primer ataque se remonta a finales de 2018, cuando un ciberataque tuvo como objetivo Cyberoam, la filial india de Sophos.
“Los adversarios han atacado infraestructuras críticas e instalaciones gubernamentales tanto pequeñas como grandes, principalmente en el sur y sudeste de Asia, incluidos proveedores de energía nuclear, el aeropuerto de una capital nacional, un hospital militar, el aparato de seguridad estatal y los ministerios del gobierno central”, dijo Sophos.
Se ha identificado que algunos de los ataques masivos posteriores aprovechan múltiples vulnerabilidades de día cero en los firewalls de Sophos: CVE-2020-12271, CVE-2020-15069, CVE-2020-29574, CVE-2022-1040 y CVE-2022. 3236: para comprometer los dispositivos y entregar cargas útiles tanto al firmware del dispositivo como a aquellos ubicados dentro de la red LAN de la organización.
“A partir de 2021, los adversarios parecieron cambiar el enfoque de ataques indiscriminados generalizados a ataques altamente dirigidos y de enfoque restringido contra entidades específicas: agencias gubernamentales, infraestructura crítica, organizaciones de investigación y desarrollo, proveedores de atención médica, comercio minorista, finanzas. “, organizaciones militares y del sector público principalmente en la región de Asia y el Pacífico”, dijo.
A partir de mediados de 2022, se dice que los atacantes centraron sus esfuerzos en obtener un acceso más profundo a organizaciones específicas, evadir la detección y recopilar más información mediante la ejecución manual de comandos y la implementación de malware como Asnarök, Gh0st RAT y Pygmy Goat, un sofisticado cable de puerta trasera. de proporcionar acceso remoto persistente a Sophos XG Firewalls y probablemente a otros dispositivos Linux.
“Aunque no contiene ninguna técnica novedosa, Pygmy Goat es bastante sofisticado en cuanto a cómo permite al actor interactuar con él bajo demanda, mientras se mezcla con el tráfico normal de la red”, dijo el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC).
“El código en sí es limpio, con funciones breves y bien estructuradas que ayudan a la extensibilidad futura, y los errores se verifican en todo momento, lo que sugiere que fue escrito por uno o varios desarrolladores competentes”.
Se ha descubierto que la puerta trasera, un novedoso rootkit que toma la forma de un objeto compartido (“libsophos.so”), se entregó tras la explotación de CVE-2022-1040. El uso del rootkit se observó entre marzo y abril de 2022 en un dispositivo gubernamental y un socio tecnológico, y nuevamente en mayo de 2022 en una máquina en un hospital militar con sede en Asia.
Se ha atribuido a ser obra de un actor de amenazas chino rastreado internamente por Sophos como Tstark, que comparte vínculos con la Universidad de Ciencia y Tecnología Electrónica de China (UESTC) en Chengdu.
Viene con la “capacidad de escuchar y responder a paquetes ICMP especialmente diseñados, que, si los recibe un dispositivo infectado, abrirían un proxy SOCKS o una conexión inversa de shell a una dirección IP elegida por el atacante”.
Sophos dijo que contrarrestó las campañas en su etapa inicial implementando un implante de kernel propio en dispositivos propiedad de actores de amenazas chinos para llevar a cabo investigaciones de exploits maliciosos, incluidas máquinas propiedad del Instituto de Investigación Double Helix de Sichuan Silence Information Technology, ganando así visibilidad en un “exploit de ejecución remota de código sigiloso y previamente desconocido” en julio de 2020.
Un análisis de seguimiento realizado en agosto de 2020 condujo al descubrimiento de una vulnerabilidad de ejecución remota de código posterior a la autenticación de menor gravedad en un componente del sistema operativo, agregó la compañía.
Además, la empresa propiedad de Thoma Bravo dijo que ha observado un patrón de recepción de informes de recompensas por errores “simultáneamente muy útiles pero sospechosos” al menos dos veces (CVE-2020-12271 y CVE-2022-1040) de lo que sospecha que son personas con vínculos. a instituciones de investigación con sede en Chengdu antes de que se utilicen de forma maliciosa.
Los hallazgos son significativos, sobre todo porque muestran que se están llevando a cabo actividades activas de investigación y desarrollo de vulnerabilidad en la región de Sichuan, y luego transmitidas a varios grupos de primera línea patrocinados por el estado chino con diferentes objetivos, capacidades y técnicas posteriores a la explotación.
“Con Pacific Rim observamos (…) una línea de montaje de desarrollo de exploits de día cero asociada con instituciones educativas en Sichuan, China”, dijo Chester Wisniewski. “Estos exploits parecen haber sido compartidos con atacantes patrocinados por el estado, lo que tiene sentido para un estado-nación que exige tal intercambio a través de sus leyes de divulgación de vulnerabilidades”.
El aumento de los ataques a dispositivos de red perimetrales también coincide con una evaluación de amenazas del Centro Canadiense para la Seguridad Cibernética (Cyber Center) que reveló que al menos 20 redes del gobierno canadiense han sido comprometidas por grupos de hackers patrocinados por el estado chino en los últimos cuatro años para avanzar en su intereses estratégicos, económicos y diplomáticos.
También acusó a los actores de amenazas chinos de apuntar a su sector privado para obtener una ventaja competitiva mediante la recopilación de información confidencial y patentada, además de apoyar misiones de “represión transnacional” que buscan atacar a uigures, tibetanos, activistas a favor de la democracia y partidarios de la independencia de Taiwán.
Los actores chinos de amenazas cibernéticas “han comprometido y mantenido el acceso a múltiples redes gubernamentales durante los últimos cinco años, recopilando comunicaciones y otra información valiosa”, dijo. “Los actores de amenazas enviaron mensajes de correo electrónico con imágenes de seguimiento a los destinatarios para realizar un reconocimiento de la red”.
