Espionaje chino: Ciberataques a la infraestructura crítica de EE.UU. se intensifican. El grupo Volt Typhoon y los APT respaldados por el Estado chino han vuelto a la carga, apuntando a redes SOHO y organizaciones gubernamentales. Alerta máxima en la seguridad cibernética.
El pasado miércoles, Microsoft emitió una advertencia en la que afirmaba que piratas informáticos patrocinados por el Estado chino habían puesto en peligro infraestructuras críticas de diversos sectores, entre ellos organizaciones gubernamentales y de comunicaciones.
Un ataque que continúa el reciente suceso descubierto e informado por Check Point Research, la división de Inteligencia de Amenazas Check Point Software Technologies, un proveedor líder especializado en ciberseguridad a nivel mundial, en el que el grupo APT Camaro Dragon, patrocinado por el Estado chino, dirigía diferentes ataques a entidades europeas de asuntos exteriores.
Según el análisis exhaustivo realizado por nuestros investigadores, estos ataques implantaban un firmware malicioso adaptado para los routers TP-Link, incluyendo una puerta trasera personalizada llamada «Horse Shell» que permite a los atacantes mantener un acceso persistente, construir una infraestructura anónima y habilitar el movimiento lateral entre las redes comprometidas.
Ahora, Estados Unidos, Australia, Canadá, Nueva Zelanda y Reino Unido, países integrantes la red de inteligencia Five Eyes, han emitido un comunicado conjunto
para poner de relieve un conjunto de actividades de interés descubierto recientemente y asociado a un ciberagente patrocinado por el Estado de la República Popular China (RPC), también conocido como Volt Typhoon.
Microsoft ha descubierto actividad maliciosa sigilosa y dirigida centrada en el acceso de credenciales posterior al compromiso y el descubrimiento del sistema de red dirigido a organizaciones de infraestructura crítica en los Estados Unidos.
El ataque lo lleva a cabo Volt Typhoon, un actor patrocinado por el estado con sede en China que generalmente se enfoca en el espionaje y la recopilación de información.
Microsoft evalúa con confianza moderada que esta campaña Volt Typhoon persigue el desarrollo de capacidades que podrían interrumpir la infraestructura de comunicaciones crítica entre los Estados Unidos y la región de Asia durante futuras crisis.
Volt Typhoon ha estado activo desde mediados de 2021 y se ha dirigido a organizaciones de infraestructura crítica en Guam y en otros lugares de los Estados Unidos.
En esta campaña, las organizaciones afectadas abarcan los sectores de comunicaciones, manufactura, servicios públicos, transporte, construcción, marítimo, gobierno, tecnología de la información y educación.
El comportamiento observado sugiere que el actor de amenazas tiene la intención de realizar espionaje y mantener el acceso sin ser detectado durante el mayor tiempo posible. Microsoft elige resaltar esta actividad de Volt Typhoon en este momento debido a nuestra gran preocupación sobre el potencial de un mayor impacto para nuestros clientes.
Aunque nuestra visibilidad de estas amenazas nos ha dado la capacidad de implementar detecciones para nuestros clientes,
Para lograr su objetivo, el actor de amenazas pone un gran énfasis en el sigilo en esta campaña, apoyándose casi exclusivamente en técnicas de vivir fuera de la tierra y en la actividad práctica del teclado.
Emiten comandos a través de la línea de comandos para (1) recopilar datos, incluidas las credenciales de los sistemas locales y de red, (2) poner los datos en un archivo para prepararlo para la exfiltración y luego (3) usar las credenciales válidas robadas para mantener persistencia. Además, Volt Typhoon intenta integrarse en la actividad normal de la red al enrutar el tráfico a través de equipos de red comprometidos para oficinas pequeñas y oficinas domésticas (SOHO), incluidos enrutadores, firewalls y hardware VPN. También se ha observado que usan versiones personalizadas de herramientas de código abierto para establecer un canal de comando y control (C2) a través de un proxy para permanecer aún más ocultos.
En esta publicación de blog, compartimos información sobre Volt Typhoon, su campaña dirigida a proveedores de infraestructura crítica y sus tácticas para lograr y mantener el acceso no autorizado a las redes objetivo.
Debido a que esta actividad se basa en cuentas válidas y binarios de vida libre (LOLBins), detectar y mitigar este ataque podría ser un desafío.
Las cuentas comprometidas deben cerrarse o modificarse. Al final de esta publicación de blog, compartimos más pasos de mitigación y mejores prácticas, así como también brindamos detalles sobre cómo Microsoft 365 Defender detecta actividades maliciosas y sospechosas para proteger a las organizaciones de tales ataques sigilosos.
La Agencia de Seguridad Nacional (NSA) también ha publicado un Aviso de Ciberseguridad [PDF]que contiene una guía de caza para las tácticas, técnicas y procedimientos (TTP) discutidos en este blog.
Al igual que con cualquier actividad de actor de estado-nación observada, Microsoft ha notificado directamente a los clientes objetivo o comprometidos, brindándoles información importante necesaria para proteger sus entornos.
Para obtener más información sobre el enfoque de Microsoft para el seguimiento de actores de amenazas, lea Microsoft cambia a una nueva taxonomía de nombres de actores de amenazas .
Acceso inicial
Volt Typhoon logra acceso inicial a organizaciones objetivo a través de dispositivos Fortinet FortiGuard con acceso a Internet. Microsoft continúa investigando los métodos de Volt Typhoon para obtener acceso a estos dispositivos.
El actor de amenazas intenta aprovechar los privilegios que ofrece el dispositivo Fortinet, extrae las credenciales de una cuenta de Active Directory utilizada por el dispositivo y luego intenta autenticarse en otros dispositivos de la red con esas credenciales.
Volt Typhoon envía todo su tráfico de red a sus objetivos a través de dispositivos de borde de red SOHO comprometidos (incluidos los enrutadores).
Microsoft ha confirmado que muchos de los dispositivos, que incluyen los fabricados por ASUS, Cisco, D-Link, NETGEAR y Zyxel, permiten al propietario exponer las interfaces de administración HTTP o SSH a Internet.
Los propietarios de dispositivos de borde de red deben asegurarse de que las interfaces de administración no estén expuestas a la Internet pública para reducir su superficie de ataque.
Al actuar como proxy a través de estos dispositivos, Volt Typhoon mejora el sigilo de sus operaciones y reduce los costos generales de adquisición de infraestructura.
Actividad posterior al compromiso
Una vez que Volt Typhoon obtiene acceso a un entorno de destino, comienzan a realizar actividades prácticas en el teclado a través de la línea de comandos. Algunos de estos comandos parecen ser exploratorios o experimentales, ya que los operadores los ajustan y los repiten varias veces.
Volt Typhoon rara vez usa malware en su actividad posterior al compromiso.
En cambio, confían en los comandos de vivir fuera de la tierra para encontrar información en el sistema, descubrir dispositivos adicionales en la red y filtrar datos.
Describimos sus actividades en las siguientes secciones, incluidas las acciones más impactantes relacionadas con el acceso de credenciales.
Acceso con credencial
Si la cuenta que Volt Typhoon compromete desde el dispositivo Fortinet tiene acceso privilegiado, usan esa cuenta para realizar las siguientes actividades de acceso a las credenciales.
Microsoft ha observado que Volt Typhoon intenta volcar las credenciales a través del Servicio de subsistema de autoridad de seguridad local (LSASS) . El espacio de memoria del proceso LSASS contiene hashes para las credenciales del sistema operativo (SO) del usuario actual .
Volt Typhoon también intenta con frecuencia utilizar la herramienta de línea de comandos Ntdsutil.exe para crear medios de instalación desde controladores de dominio, ya sea de forma remota o local. Estos medios están destinados a ser utilizados en la instalación de nuevos controladores de dominio .
Los archivos en los medios de instalación contienen nombres de usuario y hash de contraseñas que los actores de amenazas pueden descifrar sin conexión, brindándoles credenciales de cuenta de dominio válidas que podrían usar para recuperar el acceso a una organización comprometida si pierden el acceso.
Descubrimiento
Microsoft ha observado que Volt Typhoon descubre información del sistema, incluidos los tipos de sistemas de archivos; nombres de unidades, tamaño y espacio libre; Procesos corriendo; y redes abiertas.
También intentan descubrir otros sistemas en la red comprometida mediante PowerShell, la línea de comandos del Instrumental de administración de Windows (WMIC) y el comando ping .
En una pequeña cantidad de casos, los actores de amenazas ejecutan verificaciones del sistema para determinar si están operando dentro de un entorno virtualizado.
Recopilación
Además del sistema operativo y las credenciales de dominio, Volt Typhoon descarga información de las aplicaciones de navegador web locales.
Microsoft también ha observado a los actores de amenazas organizando los datos recopilados en archivos protegidos con contraseña.
Comando y control
En la mayoría de los casos, Volt Typhoon accede a los sistemas comprometidos iniciando sesión con credenciales válidas, de la misma manera que lo hacen los usuarios autorizados.
Sin embargo, en una pequeña cantidad de casos, Microsoft ha observado que los operadores de Volt Typhoon crean proxies en sistemas comprometidos para facilitar el acceso. Logran esto con el comando integrado netsh portproxy .
En casos excepcionales, también usan versiones personalizadas de las herramientas de código abierto Impacket y Fast Reverse Proxy (FRP) para establecer un canal C2 a través del proxy.
Las organizaciones comprometidas observarán el acceso C2 en forma de inicios de sesión exitosos desde direcciones IP inusuales.
La misma cuenta de usuario utilizada para estos inicios de sesión se puede vincular a la actividad de la línea de comandos que lleva a cabo más accesos de credenciales. Microsoft continuará monitoreando Volt Typhoon y rastreando los cambios en su actividad y herramientas.
Guía de mitigación y protección
Mitigar el riesgo de adversarios como Volt Typhoon, que se basan en cuentas válidas y binarios que viven de la tierra (LOLBins), es particularmente desafiante.
La detección de actividad que utiliza canales de inicio de sesión normales y archivos binarios del sistema requiere una supervisión del comportamiento.
La corrección requiere cerrar o cambiar las credenciales de las cuentas comprometidas. Las cuentas sospechosas comprometidas o los sistemas afectados deben investigarse:
- Identifique el volcado de LSASS y la creación de medios de instalación del controlador de dominio para identificar las cuentas afectadas.
- Examine la actividad de las cuentas comprometidas en busca de acciones maliciosas o datos expuestos.
- Cierre o cambie las credenciales de todas las cuentas comprometidas. Según el nivel de actividad de cobro, muchas cuentas pueden verse afectadas.
Defenderse de esta campaña
- Mitigue el riesgo de cuentas válidas comprometidas mediante la aplicación de políticas sólidas de autenticación multifactor (MFA) utilizando claves de seguridad de hardware o Microsoft Authenticator. El inicio de sesión sin contraseña, las reglas de caducidad de la contraseña y la desactivación de cuentas no utilizadas también pueden ayudar a mitigar el riesgo de este método de acceso.
- Reducir la superficie de ataque. Los clientes de Microsoft pueden activar las siguientes reglas de reducción de superficie de ataque para bloquear o auditar alguna actividad observada asociada con esta amenaza:
- Bloquee el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe). Bloquee las creaciones de procesos que se originan a partir de los comandos PSExec y WMI. Algunas organizaciones pueden experimentar problemas de compatibilidad con esta regla en ciertos sistemas de servidores, pero deben implementarla en otros sistemas para evitar el movimiento lateral que se origina en PsExec y WMI.
- Bloquee la ejecución de scripts potencialmente ofuscados.
- Refuerce el proceso de LSASS habilitando la luz de proceso de protección (PPL) para LSASS en dispositivos con Windows 11. Las nuevas instalaciones de Windows 11 unidas a empresas (actualización 22H2) tienen esta función habilitada de forma predeterminada. Además, habilite Credential Guard de Windows Defender , que también está activado de forma predeterminada para las organizaciones que usan la edición Enterprise de Windows 11.
- Active la protección proporcionada por la nube en Microsoft Defender Antivirus para cubrir las herramientas, técnicas y comportamientos de los atacantes que evolucionan rápidamente, como los exhibidos por Volt Typhoon.
- Ejecute la detección y respuesta de puntos de conexión (EDR) en modo de bloqueo para que Microsoft Defender for Endpoint pueda bloquear artefactos maliciosos, incluso cuando su antivirus que no es de Microsoft no detecta la amenaza, o cuando Microsoft Defender Antivirus se ejecuta en modo pasivo. EDR en modo de bloque funciona entre bastidores para remediar los artefactos maliciosos que se detectan después del compromiso.
Detalles de detección y consultas de caza
Antivirus de defensa de Microsoft
Microsoft Defender Antivirus detecta intentos de actividad posterior al compromiso.
Tenga en cuenta, sin embargo, que estas alertas también pueden activarse por actividad de amenazas no relacionadas con Volt Typhoon.
Active la protección proporcionada por la nube para cubrir las herramientas y técnicas de los atacantes que evolucionan rápidamente. Las protecciones de aprendizaje automático basadas en la nube bloquean la mayoría de las amenazas nuevas y desconocidas.
- Comportamiento: Win32/SuspNtdsUtilUsage.A
- Comportamiento: Win32/SuspPowershellExec.E
- Comportamiento: Win32/SuspRemoteCmdCommandParent.A
- Comportamiento: Win32/UNCFilePathOperation
- Comportamiento:Win32/VSSAMsiCaller.A
- Comportamiento: Win32/WinrsCommand.A
- Comportamiento: Win32/WmiSuspProcExec.J!se
- Comportamiento:Win32/WmicRemote.A
- Comportamiento:Win32/WmiprvseRemoteProc.B
Microsoft defender para punto final
Las alertas de Microsoft Defender para Endpoint con los siguientes títulos pueden indicar la posible presencia de actividad de Volt Typhoon.
- Detectado actor de amenazas Volt Typhoon
Las siguientes alertas también pueden estar asociadas con la actividad de Volt Typhoon. Tenga en cuenta, sin embargo, que estas alertas también pueden activarse por actividad de amenazas no relacionadas con Volt Typhoon.
- Se configuró una máquina para reenviar el tráfico a una dirección no local
- Ntdsutil recopilando información de Active Directory
- Hashes de contraseña volcados de la memoria LSASS
- Uso sospechoso de wmic.exe para ejecutar código
- kit de herramientas de impacket
Los dispositivos de red en el punto de mira… otra vez
Los ataques originados por grupos de ciberespionaje con base en China no son nuevos para Check Point Research ni la comunidad de ciberseguridad. Los grupos APT chinos como Volt Typhoon cuentan ya con su propio historial de campañas.
Su principal motivación suele ser la recopilación de inteligencia estratégica, la interrupción selectiva, o simplemente la afirmación de un punto de apoyo en las redes para futuras operaciones.
El reciente aviso señala una variedad de técnicas empleadas por estos actores de amenazas, pero de particular interés es su enfoque en «vivir de la tierra» y la explotación de dispositivos de red como routers.
Sin embargo, Estados Unidos no es el único objetivo del espionaje. En un aviso anterior de la CISA, en 2021, se enumeraban técnicas comunes utilizadas por las APT patrocinadas por China.
Entre ellas, mencionan que los atacantes utilizan routers vulnerables como parte de su infraestructura operativa para eludir la detección y albergar actividades de mando y control.
También en 2021, el CERT-FR informó de una gran campaña llevada a cabo por el actor de amenazas APT31, afiliado a China. Descubrieron que el actor utilizaba una red en malla de routers comprometidos orquestada mediante un malware al que apodaron «Pakdoor».
Por último, en el pasado mes de marzo de 2023, Check Point Research desveló un foco de ataques de espionaje de origen chino contra entidades gubernamentales del sudeste asiático, en particular naciones con reivindicaciones territoriales similares o proyectos de infraestructuras estratégicas como Vietnam, Tailandia e Indonesia.
¿Por qué los dispositivos edge son el foco de los ciberataques?
En los últimos años se observa un creciente interés de los grupos de ciberatacantes chinos por comprometer los dispositivos periféricos, con el objetivo de construir infraestructuras C&C resistentes y más anónimas para afianzarse dentro de las redes de sus objetivos.
Los dispositivos de red, como los routers, generalmente considerados como el perímetro del entorno digital de las empresas, sirven como primer punto de contacto para la comunicación basada en Internet.
Son responsables de enrutar y gestionar el tráfico de red, tanto legítimo como potencialmente malicioso. Al comprometer estos dispositivos, los atacantes pueden mezclar su tráfico con las comunicaciones legítimas, lo que dificulta considerablemente su detección.
Estos dispositivos, cuando se reconfiguran o comprometen, también permiten a los atacantes tunelizar las comunicaciones a través de la red, anonimizando eficazmente su tráfico y eludiendo los métodos de detección tradicionales.
Esta estrategia también complementa el enfoque de «vivir de la tierra» de Volt Typhoon.
En lugar de utilizar malware, que puede ser detectado por muchos sistemas de seguridad modernos, este grupo aprovecha las herramientas de administración de red integradas, como wmic, ntdsutil, netsh y PowerShell, reduciendo así su huella medioambiental.
Además, este método permite que sus actividades maliciosas pasen inadvertidas entre otras tareas administrativas benignas, lo que dificulta a los encargados de ciberseguridad la identificación de los atacantes entre los usuarios legítimos.
Estas técnicas también permiten al grupo APT mantener una persistencia dentro de las redes infectadas.
El compromiso de los dispositivos de red de pequeñas oficinas/oficinas domésticas (SOHO) puede utilizarse como infraestructura intermedia para ocultar su verdadero origen y mantener el control sobre una red incluso si se descubren y eliminan otros elementos de su operación, haciendo creer a las víctimas que la amenaza ha sido suprimida.
El descubrimiento de la naturaleza agnóstica de este firmware malicioso indica que una amplia gama de dispositivos y vendedores pueden estar en peligro.
El objetivo final de esta investigación es contribuir a mejorar la postura de seguridad de empresas y particulares por igual.
Espionaje Chino, Espionaje Chino, Espionaje Chino, Espionaje Chino, Espionaje Chino, Espionaje Chino, Espionaje Chino,
Por eso, los especialistas de Check Point Software continúan recomendando mantener cualquier dispositivo de red actualizado y protegido, y permanecer alerta ante cualquier actividad sospechosa dentro de nuestra red.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre ciberseguridad en;
Trabajadores TI: ¿a dónde están los hackers del siglo 21?
Servicio Google Cloud SQL: Grave Vulnerabilidad 2023 habría expuesto Datos Confidenciales
CVE-2023-28771: Puntuación 9.8 para Zyxel ZyWALL/USG series firmware
Intersat PFA 2023: ¿nuestra fuerza está en riesgo?
Kits de phishing: aumentó un 25%, son evasivos y avanzados
Espionaje Chino, Espionaje Chino, Espionaje Chino, Espionaje Chino, Espionaje Chino, Espionaje Chino, Espionaje Chino,Espionaje Chino, Espionaje Chino, Espionaje Chino, Espionaje Chino, Espionaje Chino, Espionaje Chino, Espionaje Chino,Espionaje Chino, Espionaje Chino, Espionaje Chino, Espionaje Chino, Espionaje Chino, Espionaje Chino, Espionaje Chino,Espionaje Chino, Espionaje Chino, Espionaje Chino, Espionaje Chino, Espionaje Chino, Espionaje Chino, Espionaje Chino,