Un hackeo masivo financiado por el estado está afectando a empresas de todo el mundo, según un informe


Se fotografió una placa base con una bandera china.
Agrandar /. Chip de computadora con bandera china, Ilustración conceptual 3d.

Los investigadores han descubierto una campaña de piratería masiva que utiliza herramientas y técnicas sofisticadas para comprometer las redes corporativas de todo el mundo.

Los piratas informáticos, muy probablemente de un grupo conocido financiado por el gobierno chino, están equipados con herramientas tanto estándar como personalizadas. Una de esas herramientas aprovecha Zerologon, el nombre de una vulnerabilidad de servidor de Windows que se paró en agosto y que podría otorgar a los atacantes privilegios administrativos instantáneos en sistemas vulnerables.

Symantec usa el nombre en clave Cicada para el grupo, que se cree que está financiado por el gobierno chino, y también lleva los apodos APT10, Stone Panda y Cloud Hopper de otras organizaciones de investigación. El grupo ha estado involucrado en piratería de espionaje desde al menos 2009 y está dirigido casi exclusivamente a empresas afiliadas a Japón. Si bien las empresas objetivo de la última campaña están en Estados Unidos y otros países, todas tienen vínculos con Japón o empresas japonesas.

En busca

«Las organizaciones afiliadas a Japón deben estar alerta, ya que está claro que son un objetivo principal de este grupo sofisticado y con buenos recursos, y la industria automotriz parece ser un objetivo principal de esta campaña de ataque», escribieron investigadores de la firma de seguridad Symantec en un informe. «Dada la amplia variedad de industrias a las que se dirigen estos ataques, las organizaciones japonesas de todos los sectores deben ser conscientes de que están en riesgo de tales actividades».

Los ataques hacen un uso extensivo de la carga lateral de DLL, una técnica que ocurre cuando los atacantes reemplazan un archivo legítimo de la biblioteca de vínculos dinámicos de Windows por uno malicioso. Los atacantes utilizan la carga lateral de DLL para inyectar malware en procesos legítimos para que el software de seguridad no detecte el ataque.

La campaña también utiliza una herramienta que se puede utilizar con Zerologon. Los exploits envían una serie de ceros en una serie de mensajes utilizando el protocolo Netlogon que permite a los servidores de Windows iniciar la sesión de los usuarios en las redes. Las personas sin autenticación pueden usar Zerologon para acceder a las joyas de la corona de una empresa: los controladores de dominio de Active Directory, que actúan como un poderoso guardián de todas las computadoras conectadas a una red.

Microsoft solucionó la vulnerabilidad crítica de escalada de privilegios en agosto, pero los atacantes la han utilizado desde entonces para comprometer a las organizaciones que aún no han instalado la actualización. Tanto el FBI como el Departamento de Seguridad Nacional han presionado para que los sistemas sean parcheados de inmediato.

Los equipos que se vieron comprometidos en los ataques descubiertos por Symantec incluían controladores de dominio y servidores de archivos. Los investigadores de la compañía también descubrieron evidencia de que los archivos fueron filtrados por algunas de las máquinas comprometidas.

Varias regiones e industrias

Los destinos provienen de una amplia variedad de industrias que incluyen:

  • La industria automotriz también se ve afectada, con algunos fabricantes y organizaciones involucradas en el suministro de piezas para la industria automotriz, lo que indica que este es un sector de gran interés para los atacantes.
  • vestido
  • Conglomerados
  • electrónica
  • Ingeniería mecánica
  • Empresa comercial general
  • gobierno
  • Productos industriales
  • Proveedor de servicios gestionados
  • Fabricación
  • Farmacéutico
  • Servicios profesionales

A continuación se muestra un mapa de la ubicación física de los destinos:

Symantec

Symantec vinculó los ataques a Cicada utilizando huellas digitales en el malware y en el código de ataque. Las huellas dactilares incluían técnicas de ofuscación y código shell involucrado en la carga de la página DLL, así como las siguientes características mencionadas en este informe de 2019 de la firma de seguridad Cylance:

  • La DLL de tercer nivel tiene una exportación llamada «FuckYouAnti».
  • La DLL de tercer nivel utiliza la técnica CppHostCLR para inyectar y ejecutar el ensamblado del cargador .NET
  • .NET Loader está ofuscado con ConfuserEx v1.0.0
  • La carga útil final es QuasarRAT, una puerta trasera de código abierto que Cicada ha utilizado en el pasado.

«El alcance de las operaciones también indica un grupo de tamaños y capacidades de cigarras», escribieron los investigadores de Symantec. “Alojar varias organizaciones grandes en diferentes regiones al mismo tiempo requeriría una gran cantidad de recursos y habilidades que generalmente solo se encuentran en grupos apoyados por el estado-nación. La conexión de todas las víctimas con Japón también apunta a la cigarra, que se sabe que fue dirigida contra organizaciones japonesas en el pasado. «

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *