Resumen de buceo:
- Los piratas informáticos que trabajan para un gobierno asiático han violado al menos 70 agencias gubernamentales y organizaciones de infraestructura crítica en 37 países durante el año pasado como parte de una campaña de espionaje probablemente destinada a recopilar información sobre minerales de tierras raras, acuerdos comerciales y asociaciones económicas. Palo Alto Networks dijo en un informe publicado el jueves.
- «Si bien este grupo podría estar persiguiendo objetivos de espionaje», escribieron en el informe los investigadores del grupo Unidad 42 de la compañía, «sus métodos, objetivos y escala de operaciones son alarmantes, con posibles consecuencias a largo plazo para la seguridad nacional y los servicios clave».
- La firma de seguridad proporcionó indicadores de compromiso y describió las técnicas e infraestructura del actor de la amenaza.
Información de buceo:
Además de penetrar objetivos en 37 países (incluidas agencias de aplicación de la ley, ministerios de finanzas y departamentos de comercio), el actor de amenazas ha extendido una red mucho más amplia, realizando reconocimientos contra redes gubernamentales en 155 países entre noviembre y diciembre, según el informe de Palo Alto Networks.
La empresa no atribuyó la actividad del grupo, que rastrea como TGR-STA-1030, a un país específico, pero su descripción del grupo se alinea estrechamente con los objetivos del gobierno chino.
Las víctimas del grupo, según Palo Alto Networks, incluyen al Ministerio de Energía de Brasil, una agencia clave en el país que se cree posee el segundo mayor suministro de minerales de tierras raras del mundo; el Proyecto Syzefxis de Grecia, que está diseñado para mejorar los servicios públicos a través de conexiones a Internet más rápidas; una agencia de policía de Mongolia, que sufrió una infracción poco antes de que el ministro de justicia de Mongolia “se reuniera con una contraparte de una nación asiática” y varias “empresas de telecomunicaciones a nivel nacional”.
Los piratas informáticos también penetraron en «un importante proveedor de la industria de equipos eléctricos de Taiwán», según el informe. Y mientras una aerolínea indonesia negociaba la compra de aviones de un fabricante estadounidense, los piratas informáticos violaron las redes de la aerolínea. «Al mismo tiempo», decía el informe, «un interés en competencia promovía activamente aviones de un fabricante con sede en el Sudeste Asiático».
Otros ataques apuntaron aún más claramente a Beijing. Semanas después de que el presidente de la República Checa se reuniera con el Dalai Lama, los piratas informáticos comenzaron a escanear las redes del ejército checo, la policía nacional, el parlamento y múltiples oficinas del gobierno nacional. Y el 31 de octubre, un mes antes de que Honduras celebrara una elección presidencial “en la que ambos candidatos dieron señales de estar abiertos a restablecer las relaciones diplomáticas con Taiwán”, según el informe, los piratas informáticos atacaron al menos 200 direcciones IP del gobierno hondureño, uno de los períodos de actividad más intensos registrados.
Las herramientas del grupo incluyen un cargador de malware entregado mediante phishing originalmente llamado DiaoYu, la palabra china para «pescar», que busca un puñado de productos antivirus antes de implementar una carga útil Cobalt Strike. El grupo ha intentado explotar vulnerabilidades en Microsoft Exchange Server, SAP Solution Manager y más de una docena de otros productos y servicios, dijeron los investigadores.
Palo Alto Networks también observó a los piratas informáticos utilizando un rootkit único, que la empresa de seguridad denominó ShadowGuard, para ejecutarlo sigilosamente dentro de la máquina virtual Extended Berkeley Packet Filter (eBPF) del kernel de Linux. «Las puertas traseras eBPF son notoriamente difíciles de detectar porque operan completamente dentro del espacio del kernel altamente confiable», escribieron los investigadores. «Esto les permite manipular las funciones centrales del sistema y auditar los registros antes de que las herramientas de seguridad o las aplicaciones de monitoreo del sistema puedan ver los datos verdaderos».
Esa estrategia se alinea con investigaciones recientes sobre grupos vinculados a China. uso de malware sofisticado.
El actor de amenazas «aplica un enfoque de infraestructura de múltiples niveles para ofuscar sus actividades», escribieron los investigadores, pero algunas de las actividades del grupo aún revelaron pistas sobre sus orígenes. En algunos casos, según el informe, los piratas informáticos se conectaron a las redes de las víctimas desde direcciones IP pertenecientes a China Mobile Communications Group, uno de los proveedores troncales más importantes de China.
Palo Alto Networks dijo que su análisis sugería que los piratas informáticos habían estado activos desde enero de 2024. El grupo “sigue siendo una amenaza activa para el gobierno y la infraestructura crítica en todo el mundo”, advirtió.
Fuente