Múltiples APT chinas establecen importantes cabezas de playa dentro de infraestructura sensible
Dan Goodin - 1 de agosto de 2023 12:29 pm UTC
Los equipos de hackers que trabajan para el gobierno chino tienen la intención de excavar en los confines más lejanos de la infraestructura sensible, gran parte de ella perteneciente a Estados Unidos, y establecer presencias permanentes allí si es posible. En los últimos dos años, han obtenido algunas victorias que podrían amenazar seriamente la seguridad nacional.
Si eso no estaba claro antes, tres informes publicados la semana pasada así lo demuestran. En uno publicado por la firma de seguridad Kaspersky, los investigadores detallaron un conjunto de herramientas de espionaje avanzadas utilizadas durante los últimos dos años por un grupo para establecer un “canal permanente para la filtración de datos” dentro de la infraestructura industrial. Un segundo informe publicado el domingo por The New York Times decía que un grupo diferente que trabajaba para el gobierno chino había ocultado malware que podría causar interrupciones en lo profundo de la infraestructura crítica utilizada por las bases militares estadounidenses en todo el mundo. Esos informes llegaron nueve días después de que Microsoft revelara una violación de las cuentas de correo electrónico de 25 de sus clientes de la nube, incluidos los Departamentos de Estado y Comercio.
Las operaciones parecen provenir de departamentos separados dentro del gobierno chino y apuntar a diferentes partes de la infraestructura estadounidense y europea. El primer grupo, rastreado bajo el nombre de Zirconium, busca robar datos de los objetivos que infecta. Un grupo diferente, conocido como Volt Typhoon, según el NYT, pretende conseguir la capacidad a largo plazo de causar perturbaciones dentro de las bases estadounidenses, posiblemente para utilizarlas en caso de un conflicto armado. En ambos casos, los grupos están tratando de crear cabezas de playa permanentes donde puedan establecerse subrepticiamente.
Un informe publicado por Kaspersky hace dos semanas (parte 1) y el lunes (parte 2) detalla 15 implantes que le dan a Zirconium una gama completa de capacidades avanzadas. Las capacidades de los implantes van desde la etapa uno, acceso remoto persistente a máquinas pirateadas, hasta una segunda etapa que recopila datos de esas máquinas (y de cualquier dispositivo aislado al que se conecten) y una tercera etapa utilizada para cargar datos robados en sistemas controlados por Zirconium. servidores de comando.
Zirconium es un grupo de hackers que trabaja para la República Popular China. Tradicionalmente, la unidad se ha dirigido a una amplia gama de entidades industriales y de información, incluidas aquellas de organizaciones y empresas gubernamentales, financieras, aeroespaciales y de defensa en las industrias de tecnología, construcción, ingeniería, telecomunicaciones, medios y seguros. Zirconium, que también se rastrea bajo los nombres APt31 y Judgement Panda, es un ejemplo de APT (amenaza persistente avanzada), una unidad que piratea para, en nombre de o como parte de un estado-nación.
El informe de Kaspersky muestra que casi al mismo tiempo que el ataque al enrutador a gran escala, Zirconium estaba ocupado con otra tarea importante más, una que implicaba el uso de los 15 implantes para descubrir información confidencial fortificada en lo más profundo de las redes específicas. El malware normalmente se instala en lo que se conoce como secuestro de DLL. Este tipo de ataques encuentran formas de inyectar código malicioso en los archivos DLL que hacen que funcionen varios procesos de Windows. El malware cubrió sus huellas utilizando el algoritmo RC4 para cifrar datos hasta justo antes de ser inyectado.
Kaspersky dijo que un componente de gusano del malware puede infectar unidades extraíbles que, cuando se conectan a un dispositivo aislado, localizan datos confidenciales almacenados allí y los copian. Cuando se vuelve a conectar a una máquina conectada a Internet, el dispositivo de disco infectado lo escribe allí.
"A lo largo de la investigación, los investigadores de Kaspersky observaron los esfuerzos deliberados de los actores de amenazas para evadir la detección y el análisis", escribió Kaspersky. "Lo lograron ocultando la carga útil en forma cifrada dentro de archivos de datos binarios separados e incrustando código malicioso en la memoria de aplicaciones legítimas mediante el secuestro de DLL y una cadena de inyecciones de memoria".