Según Facebook, los piratas informáticos patrocinados por el gobierno vietnamita están vinculados a empresas de TI


Foto estilizada de la computadora de escritorio.

Facebook dijo que ha vinculado un grupo de piratería avanzada, que se cree ampliamente patrocinado por el gobierno vietnamita, con lo que supuestamente es una empresa de TI legítima en ese país.

El llamado Grupo de Amenaza Persistente Avanzada pertenece a los apodos APT32 y OceanLotus. Ha estado en funcionamiento desde al menos 2014 y está dirigido a empresas del sector privado en una serie de industrias, así como a gobiernos extranjeros, disidentes y periodistas en el sur de Asia y en otros lugares. Utiliza una variedad de tácticas, incluido el phishing, para infectar objetivos con malware de escritorio y móvil con todas las funciones, diseñado desde cero. Para ganarse la confianza de los destinatarios, el grupo hace todo lo posible para crear sitios web y personas en línea que se hacen pasar por personas y organizaciones legítimas.

A principios de este año, los investigadores descubrieron al menos ocho aplicaciones de Android inusualmente sofisticadas alojadas en Google Play y vinculadas al grupo de piratería. Muchos de ellos han estado allí desde al menos 2018. OceanLotus ha omitido repetidamente el proceso de revisión de aplicaciones de Google al enviar versiones parcialmente inofensivas de las aplicaciones y luego actualizarlas para agregar puertas traseras y otras características maliciosas.

FireEye publicó este informe detallado sobre OceanLotus en 2017, y BlackBerry tiene más información actualizada aquí.

El jueves, Facebook identificó a la empresa de TI vietnamita CyberOne Group como afiliada a OceanLotus. El grupo enumera una dirección en la ciudad de Ho Chi Minh.

Los correos electrónicos enviados a la empresa en busca de un comentario devolvieron un mensaje de error que indicaba que el servidor de correo electrónico estaba configurado incorrectamente. Sin embargo, un informe de Reuters el viernes citó a una persona que dirige la página de Facebook ahora prohibida de la compañía: “NO somos Ocean Lotus. Es un error.»

En el momento de esta publicación, el sitio web de la compañía también estaba caído. Aquí se encuentra un archivo del mismo de más temprano el viernes.

Según Facebook, una investigación reciente reveló una serie de tácticas, técnicas y procedimientos notables, que incluyen:

  • Desarrollo Social: APT32 creó personajes ficticios en Internet haciéndose pasar por activistas y corporaciones, o utilizó un cebo romántico para ponerse en contacto con las personas a las que apuntaban. Estos esfuerzos a menudo incluían la creación de resguardos para estas personas falsas y organizaciones falsas en otros servicios de Internet para que pudieran parecer más legítimas y resistir el escrutinio, incluso por parte de investigadores de seguridad. Algunas de sus páginas están diseñadas para atraer seguidores específicos para su posterior orientación de phishing y malware.
  • Aplicaciones maliciosas de Play Store: Además de usar Pages, APT32 atrajo destinos para descargar aplicaciones de Android desde Google Play Store, que tenía una amplia variedad de permisos para permitir un monitoreo extenso de los dispositivos de las personas.
  • Propagación de malware: APT32 comprometió los sitios web y creó sus propios sitios web para incluir Javascript malicioso disfrazado como parte de su ataque de abrevadero para rastrear la información del navegador del objetivo. Un ataque de pozo de agua ocurre cuando los piratas informáticos infectan sitios web que los objetivos previstos visitan con frecuencia para comprometer sus dispositivos. Como parte de esto, el grupo creó malware personalizado que puede detectar el tipo de sistema operativo (Windows o Mac) utilizado por un objetivo antes de enviar una carga útil personalizada que ejecuta el código malicioso. De acuerdo con las actividades anteriores de este grupo, APT32 también utilizó enlaces a servicios de intercambio de archivos donde se alojaban archivos maliciosos, se hacía clic y se descargaban objetivos. Más recientemente, utilizaron enlaces abreviados para enviar malware. Finalmente, el grupo se basó en ataques de carga lateral de biblioteca de vínculos dinámicos (DLL) en aplicaciones de Microsoft Windows. Desarrollaron archivos maliciosos en exe, rar, rtf y Yo asi Formatea y entrega documentos de Word inofensivos con enlaces maliciosos en el texto.

El nombre de CyberOne Group no es la primera vez que los investigadores han vinculado públicamente a un grupo de piratería patrocinado por el gobierno con organizaciones de la vida real. En 2013, los investigadores de Mandiant, ahora parte de la firma de seguridad FireEye, identificaron una torre de oficinas de 12 pisos en Shanghai, China, como el centro neurálgico de Comment Crew, un grupo de piratería responsable de piratear más de 140 organizaciones en todo el país. hace siete años. El edificio fue la sede de la Unidad 61398 del Ejército Popular de Liberación. En 2018, FireEye anunció que un laboratorio de investigación en Rusia estaba desarrollando malware potencialmente mortal que manipulaba los mecanismos de seguridad de una instalación industrial en el Medio Oriente.

Facebook dijo que anularía la capacidad de OceanLotus de abusar de la plataforma de la compañía. Facebook dijo que esperaba que las tácticas del grupo evolucionaran, pero que los sistemas de detección mejorados harían más difícil para el grupo evadir la exposición.

El informe del jueves no incluye detalles de cómo Facebook vinculó OceanLotus con CyberOne Group, lo que dificulta que los investigadores externos confirmen los resultados. Facebook dijo a Reuters que proporcionar estos detalles proporcionaría a los atacantes y a otras personas como ellos información que les permitiría evadir la detección en el futuro.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *