Los piratas informáticos patrocinados por el estado en China comprometen a la autoridad de certificación

imágenes falsas

Los piratas informáticos del estado-nación con sede en China infectaron recientemente una autoridad de certificación y varias agencias gubernamentales y de defensa con un potente cóctel de malware en un intento de infiltrarse en una red y robar información confidencial, dijeron los investigadores el martes.

Comprometer con éxito la autoridad de certificación sin nombre es potencialmente fatal, ya que los navegadores y los sistemas operativos confían en estas entidades para certificar las identidades responsables de un servidor o aplicación en particular. En caso de que los piratas informáticos obtuvieran el control de la infraestructura de la empresa, podrían usarlo para firmar digitalmente su malware para que pudiera pasar más fácilmente a través de la protección de punto final. También pueden suplantar criptográficamente sitios web confiables o interceptar datos encriptados.

Si bien los investigadores que descubrieron la brecha no encontraron evidencia de que la infraestructura de certificados se haya visto comprometida, dijeron que esta campaña era solo la última de un grupo al que llaman Billbug, que tiene un historial documentado de hacks notables que se remontan al menos a 2009.

«La capacidad de este actor para comprometer simultáneamente a múltiples víctimas indica que este grupo de amenazas sigue siendo un operador experimentado y con buenos recursos capaz de realizar campañas sostenidas y de gran alcance», escribieron los investigadores de Symantec. «Billbug tampoco parece inmutarse por la posibilidad de que se le atribuya esta actividad, reutilizando herramientas históricamente asociadas con el grupo».

Symantec documentó a Billbug por primera vez en 2018 cuando los investigadores corporativos rastrearon al grupo bajo el nombre Thrip. El grupo pirateó múltiples objetivos, incluido un operador de comunicaciones por satélite, una empresa de mapeo e imágenes geoespaciales, tres operadores de telecomunicaciones diferentes y un contratista de defensa. De particular preocupación fue el ataque del operador satelital, ya que los atacantes «parecían estar particularmente interesados ​​en el lado operativo de la empresa, ubicando e infectando computadoras con software que monitorea y controla los satélites». Los investigadores especularon que las motivaciones de los piratas informáticos pueden haber ido más allá del espionaje para incluir también la interrupción.

Los investigadores finalmente rastrearon la actividad de piratería a computadoras ubicadas físicamente en China. Además del sudeste asiático, también hubo objetivos en los Estados Unidos.

Un poco más de un año después, Symantec reunió nueva información que permitió a los investigadores determinar que Thrip era en realidad el mismo grupo conocido como Billbug o Lotus Blossom. En los 15 meses transcurridos desde el primer informe, Billbug había pirateado con éxito 12 organizaciones en Hong Kong, Macao, Indonesia, Malasia, Filipinas y Vietnam. Las bajas incluyeron objetivos militares, comunicaciones marítimas y los sectores de los medios y la educación.

Billbug usó una combinación de software legítimo y malware personalizado para infiltrarse en las redes de sus víctimas. El uso de software legítimo como PsExec, PowerShell, Mimikatz, WinSCP y LogMeIn permitió que las actividades de piratería se combinaran con las operaciones normales en los entornos comprometidos. Los piratas informáticos también utilizaron el ladrón de información Catchamas y las puertas traseras llamadas Hannotog y Sagerunex.

En la campaña más reciente dirigida a la CA y otras organizaciones, Billbug volvió a Hannotog y Sagerunex, pero también utilizó una variedad de software nuevo y legítimo, incluidos AdFind, Winmail, WinRAR, Ping, Tracert, Route, NBTscan, Certutil, y escáner de puertos.

La publicación del martes contiene una variedad de detalles técnicos que las personas pueden usar para determinar si han sido atacados por Billbug. Symantec es la división de seguridad de Broadcom Software.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí