Sophos, líder mundial en soluciones de seguridad innovadoras para combatir ciberataques, lanzó el informe “Pacific Rim”, que detalla su operación de defensa y contraataque a lo largo de los últimos cinco años frente a varios adversarios de Estados-nación con sede en China que apuntaron a dispositivos perimetrales, incluidos firewalls de Sophos.
Los atacantes ejecutaron campañas con exploits novedosos y malware personalizado para realizar espionaje, sabotaje y vigilancia cibernética, utilizando tácticas, herramientas y procedimientos similares a grupos de Estado chino bien conocidos como Volt Typhoon, APT31 y APT41. Los objetivos incluyeron infraestructura crítica y entidades gubernamentales en Asia del Sur y Sudeste, entre ellos proveedores de energía nuclear, un aeropuerto de capital nacional, un hospital militar, sistemas de seguridad estatal y ministerios centrales de gobierno.
A lo largo del informe "Pacific Rim", Sophos X-Ops, la unidad de inteligencia en ciberseguridad y amenazas de Sophos, trabajó para neutralizar los movimientos de los cibercriminales, mejorando continuamente las defensas y contraofensivas. Tras responder a los ataques iniciales, Sophos observó una escalada en los esfuerzos de los atacantes, quienes desplegaron operadores más experimentados. Esto permitió a Sophos descubrir un vasto ecosistema de adversarios.
La empresa de ciberseguridad recomienda recomienda a las organizaciones tomar acciones para reforzar sus posturas de seguridad, tales como minimizar los servicios y dispositivos con acceso a internet, priorizar parches, habilitar hotfixes automáticos, colaborar con socios público-privados y crear planes para dispositivos EOL.
Esta actividad hostil no está dirigida contra una sola empresa. Sophos ha observado otros objetivos de Internet bajo asedio y han vinculado a muchos de los atacantes implicados en ataques a otros proveedores de seguridad de redes, incluidos los que proporcionan dispositivos para uso doméstico y de pequeñas oficinas. Entender por qué esta campaña de ataque es una prioridad a largo plazo para el adversario puede ayudar a los objetivos potenciales a comprender cómo están cambiando las viejas reglas de la evaluación de riesgos corporativos y lo que esto significa para el futuro
Desde 2020, Sophos ha informado sobre campañas específicas, como Cloud Snooper y Asnarök, y hoy ofrece un análisis general de la investigación para alertar sobre la persistencia de los adversarios chinos y su enfoque en dispositivos perimetrales, sin soporte y con vulnerabilidades de fin de vida útil (EOL), a menudo mediante exploits de día cero creados para tales dispositivos. Sophos exhorta a las organizaciones a aplicar parches para vulnerabilidades en dispositivos con acceso a internet y migrar los equipos antiguos sin soporte. Los clientes de Sophos Firewall están protegidos a través de hotfixes rápidos que se aplican de forma predeterminada.
"La realidad es que los dispositivos perimetrales se han convertido en objetivos altamente atractivos para grupos de Estado-nación chinos como Volt Typhoon, que buscan construir cajas de retransmisión operativas (ORBs) para ocultar y facilitar sus actividades, ya sea atacando directamente una organización para espiar o aprovechando puntos débiles para ataques posteriores, afectando incluso a quienes no son objetivos directos. Los dispositivos de red empresariales son ideales: potentes, siempre conectados y con conexión constante,” comentó Ross McKerchar, CISO de Sophos.
Puntos destacados del informe
• El 4 de diciembre de 2018, una computadora de bajo privilegio conectada a una pantalla comenzó a escanear la red de Sophos en la sede india de Cyberoam, compañía adquirida por Sophos en 2014. Sophos halló un payload que incluía un backdoor novedoso y un rootkit complejo llamado “Cloud Snooper.”
• En abril de 2020, tras reportarse una interfaz que apuntaba a un dominio relacionado con Sophos, Sophos colaboró con la policía europea para confiscar el servidor utilizado por los atacantes en lo que denominó Asnarök, atribuido a China. Esto permitió neutralizar una ola de ataques de botnets planificados.
• Después de Asnarök, Sophos avanzó en sus operaciones de inteligencia mediante la creación de un programa adicional de rastreo de actores de amenazas centrado en identificar e interrumpir a los ciberatacantes que buscan explotar los dispositivos de Sophos desplegados en entornos de clientes; el programa se construyó utilizando una combinación de inteligencia de código abierto, análisis web, monitorización de telemetría e implantes de kernel dirigidos desplegados en los dispositivos de investigación de los atacantes.
• Sophos rastreó algunos ataques hasta un adversario vinculado a Sichuan Silence Information Technology y el Instituto de Investigación Double Helix en Chengdu, China.
• En marzo de 2022, un investigador anónimo informó a Sophos de una vulnerabilidad de ejecución remota de código (CVE-2022-1040) a través del programa de recompensas de la compañía. Tras la investigación, Sophos determinó que la persona que reportó el exploit podía tener vínculos con los atacantes.
Declaraciones sobre el informe Pacific Rim
"A través del JCDC, la CISA obtiene y comparte información crucial sobre los desafíos de ciberseguridad, incluyendo las tácticas avanzadas de actores cibernéticos de la República Popular China (RPC). Los socios como Sophos y sus informes, como el informe Pacific Rim, ofrecen a la comunidad global más insights sobre el comportamiento de la RPC," comentó Jeff Greene, director ejecutivo adjunto de ciberseguridad en CISA.
Foto: Freepik.