Este audio se genera automáticamente. Por favor háganos saber si tiene comentario.
Los piratas informáticos que trabajan para el gobierno chino irrumpieron en más de 50 empresas de telecomunicaciones y agencias gubernamentales en 42 países, en una campaña que explotó las características legítimas de las plataformas en la nube para ocultar las huellas de los atacantes.
“El atacante estaba usando llamadas API para comunicarse con [software-as-a-service] aplicaciones como infraestructura de comando y control (C2) para disfrazar su tráfico malicioso como benigno”, investigadores del Threat Intelligence Group de Google y Mandiant dijeron en un informe el miércoles.
Google dijo que el “prolífico y esquivo” equipo de hackers vinculado a China, al que rastrea como UNC2814, “tiene una larga historia de atacar a gobiernos internacionales y organizaciones globales de telecomunicaciones en África, Asia y América”.
El grupo invadió 53 organizaciones en todo el mundo como parte de la última campaña, un alcance masivo que, según Google, probablemente reflejaba «una década de esfuerzo concentrado».
«Las intrusiones prolíficas de esta escala son generalmente el resultado de años de esfuerzo concentrado y no serán fácilmente restablecidas», escribieron los investigadores de Google. «Esperamos que UNC2814 trabaje duro para restablecer su huella global».
UNC2814, que es distinto del actor de amenazas responsable del ataque de Beijing Campaña contra el tifón de sal«tiene un historial de acceso mediante la explotación y el compromiso de servidores web y sistemas perimetrales», dijo Google. Los investigadores han seguido sus actividades desde 2017.
Al mando de una plataforma de colaboración
En la última operación, que Google y sus socios interrumpieron la semana pasada al apoderarse de la infraestructura de los atacantes, los piratas informáticos UNC2814 implementaron un malware de puerta trasera denominado «GRIDTIDE» que controlaron mediante un elaborado abuso de la API de Google Sheets.
GRIDTIDE buscó comandos en la celda A1 y luego sobrescribió los datos de la celda con un informe de estado de sus actividades, según el informe de Google. Los piratas informáticos utilizaron células cercanas para transferir herramientas adicionales a las máquinas víctimas y extraer archivos de ellas.
«Una vez preparada la hoja, la puerta trasera realiza un reconocimiento basado en el host», dijo Google, incluida la recopilación de información sobre la máquina objetivo, su usuario y su entorno de red. «Esta información luego se extrae y se almacena en la celda V1 de la hoja de cálculo controlada por el atacante».
Las técnicas inteligentes de la campaña y su impacto generalizado resaltan «la grave amenaza que enfrentan los sectores de telecomunicaciones y gobierno, y la capacidad de estas intrusiones para evadir la detección de los defensores», advirtió Google.
Aunque la campaña es distinta de Salt Typhoon, Google dijo que parecía tener un objetivo similar y la describió como «consistente con la actividad de ciberespionaje en las telecomunicaciones, que se utiliza principalmente para identificar, rastrear y monitorear a personas de interés».
Dejando fuera de línea a los atacantes
En respuesta a la campaña de piratería, Google deshabilitó el acceso a la plataforma en la nube de los atacantes, y la empresa y sus socios bloquearon los dominios web del actor de amenazas.
«Terminamos todos los proyectos en la nube controlados por el atacante, cortando efectivamente su acceso persistente a entornos comprometidos por la puerta trasera GRIDTIDE», escribieron los investigadores.
Google también publicó indicadores de compromiso asociados con la infraestructura que el grupo ha estado usando desde 2023, actualizó sus detecciones de malware basadas en firmas para detectar GRIDTIDE y proporcionó consultas de búsqueda que sus clientes de seguridad en la nube podrían usar para buscar posibles compromisos en sus entornos.
La compañía dijo que había notificado a las víctimas de la campaña.
Fuente