Este audio se generó automáticamente. Háganos saber si tiene comentario.
WASHINGTON – Los piratas informáticos altamente sofisticados vinculados con el gobierno chino están entrando en compañías de tecnología, proveedores de software como servicio y empresas de servicios legales con malware sigiloso que les ha permitido robar silenciosamente datos confidenciales de esas compañías y sus clientes, Google anunció el miércoles.
Los piratas informáticos han girado de proveedores de servicios a las redes de sus clientes, registraron los correos electrónicos de personas específicas dentro de las firmas legales y cazaron información sobre la seguridad nacional y los asuntos comerciales internacionales de los Estados Unidos, según Google.
Los actores de amenaza también han robado el código fuente para tecnologías empresariales ampliamente utilizadas, probablemente como parte de un esfuerzo por analizarlas para vulnerabilidades no reveladas que podrían impulsar los ataques futuros, dijo Google. En algunas infracciones de los proveedores de tecnología empresarial, han registrado las bandejas de entrada de los desarrolladores de software de correo electrónico para obtener información sobre fallas del producto.
Un grupo vinculado a China llamado UNC5221 está llevando a cabo la mayoría de los ataques, según Google, pero debido a que diferentes equipos a menudo comparten herramientas, el gigante tecnológico dijo que otros grupos vinculados a China también están involucrados.
La campaña está activa en este momento, los expertos en ciberseguridad de Google dijeron a los periodistas el martes durante una sesión informativa en la Cumbre de Defensa Cibernética de la compañía en Washington.
«Esto está sucediendo en los Estados Unidos, esta es una actividad de siguiente nivel, y solo aprenderemos más sobre esto con el tiempo», dijo John Hultquist, analista jefe del Grupo de Inteligencia de Amenazas de Google (GTIG).
Hultquist describió la campaña como «una muy buena operación de inteligencia» y dijo que el movimiento de los atacantes de los principales proveedores a sus clientes recordó otros incidentes de cadena de suministro, como Campaña de espionaje de SolarWinds de Rusia. «Es ellos moviéndose aguas arriba donde pueden elegir sus objetivos de interés».
Escondido en los huecos
Un elemento alarmante de la campaña, dijo Google, es el uso de los piratas informáticos de Una puerta trasera de malware llamada Brickstorm que plantan en sistemas que no pueden ejecutar la detección y respuesta del punto final (EDR) o el software antivirus, como los hipervisores de VMware ESXI, las puertas de enlace de seguridad de correo electrónico y los escáneres de vulnerabilidad. Evading EDR les permite esconderse por mucho más tiempo de lo que los piratas informáticos pueden típicamente: Google dijo que ha llevado a las víctimas un promedio de 393 días descubrir las intrusiones, un «tiempo de permanencia» notablemente largo que desafía las tendencias recientes en la detección de ataque mejorado.
Google está lanzando una herramienta que permitirá a las empresas escanear sus redes en busca de evidencia de tormenta de ladrillos, así como las reglas de Yara que las empresas pueden usar para buscar en sus copias de seguridad evidencia histórica de intrusiones. Los expertos en Google dijeron que los piratas informáticos se destacan por borrar sus pistas.
Muchas organizaciones «encontrarán evidencia de compromisos históricos o compromisos activos», dijo Charles Carmakal, director de tecnología de la División Mandiant de Google.
Las empresas que sí ven signos del malware Brickstorm deben realizar una investigación exhaustiva, agregó. «Este es un adversario muy, muy avanzado».
Adversario del paciente, efectos de ondulación a largo plazo
El principal grupo vinculado a China responsable de las intrusiones, UNC5221, «es el adversario más frecuente en los Estados Unidos en los últimos años» en términos de frecuencia, gravedad y complejidad de sus ataques, dijo Carmakal a los periodistas.
Los piratas informáticos UNC5221 son extremadamente sigilosos, dijo Carmakal, sin usar nunca la infraestructura alojada en la misma dirección IP en más de un ataque para evitar crear un patrón reconocible. «Es muy difícil detectarlos e investigarlos», dijo.
Los atacantes también son pacientes. En una investigación, Google vio a los piratas informáticos configurar su puerta trasera para mentir durante meses mientras la víctima investigaba signos de una intrusión. «Es inteligente, pero también muestra que están en él durante el juego largo», dijo Austin Larsen, analista principal de amenazas de GTIG.
Debido a que la mayoría de las empresas no han descubierto las intrusiones hasta mucho después de que sus registros del plazo de acceso inicial se eliminen automáticamente, los investigadores de Google han encontrado que es difícil identificar los medios de acceso inicial de los piratas informáticos. Pero la compañía dijo que la evidencia apunta a los atacantes «comprometiendo el perímetro y la infraestructura de acceso remoto», incluidas las VPN seguras de Ivanti Connect y varios otros dispositivos de borde. UNC5221 ha sido uno de los grupos principales explotación Ivanti vulnerabilidades En los últimos dos años.
Los expertos en Google se negaron a identificar a cualquiera de las víctimas, incluidas las compañías que han sido pirateadas debido a las violaciones de los proveedores, ya que muchas de esas víctimas todavía están remediendo las intrusiones. La compañía dijo que estaba publicando la campaña en curso ahora porque quería aprender más sobre el alcance de los ataques y advertir a las posibles víctimas.
El impacto de la campaña continuará resonando «de seis a doce a dieciocho y veinticuatro meses a partir de ahora», dijo Carmakal, «porque durante ese tiempo, habrá cosas nuevas que saldrán [and] Habrá nuevas víctimas que revelen [breaches]. «
Fuente