El grupo de espionaje cibernético con sede en China apunta a organizaciones en …



Docenas de organizaciones en múltiples sectores se han convertido en víctimas de APT20 en los últimos dos años.

Un actor avanzado de amenaza persistente (APT) que probablemente opere fuera de China, al menos durante los últimos dos años, ha estado apuntando silenciosamente a organizaciones en los Estados Unidos y en todo el mundo en una campaña de espionaje radical.

Entre sus docenas de víctimas se encuentran compañías en las industrias de aviación, construcción, energía, finanzas, salud, transporte, así como otras, en 10 países, incluidos EE. UU., Reino Unido, Brasil, China, Francia y Alemania.

El atacante, identificado como «APT20» en un informe esta semana de Fox-IT de NCC Group, probablemente esté motivado geopolíticamente y respaldado por el estado, dijo el vendedor de seguridad.

«Fox-IT evalúa con gran confianza que el actor es un grupo chino y que probablemente están trabajando para apoyar los intereses del gobierno chino y que tienen la tarea de obtener información con fines de espionaje», dijo el vendedor en su informe.

Análisis de Fox-IT La táctica de APT20 muestra que en varios incidentes, los atacantes obtuvieron acceso inicial a una red de víctimas a través de un servidor world-wide-web vulnerable, que generalmente ejecuta versiones de JBoss. A menudo, los servidores a través de los cuales se introdujo APT20 ya se habían visto comprometidos en un ataque anterior no conectado y se les había colocado shells website. APT20 usó esos proyectiles world wide web para el movimiento lateral inicial y el reconocimiento.

Los otros enfoques del grupo para obtener acceso inicial incluyen el uso de correos electrónicos de phishing y spear-phishing, compromiso de la cadena de suministro y a través de dispositivos de medios extraíbles infectados.

Al igual que muchos otros actores de amenazas, la estrategia de APT20 después de obtener un punto de apoyo inicial ha sido intentar cosechar y usar credenciales de acceso que pertenecen a cuentas privilegiadas, como las que pertenecen a empresas y administradores de dominio. Luego, el grupo ha usado descaradamente las cuentas de administrador para acceder a la red de víctimas a través de su propia VPN corporativa.

Fox-IT dice que su investigación muestra que APT20 utiliza una variedad de herramientas personalizadas y servicios legítimos para llevar a cabo sus ataques. Entre las herramientas personalizadas que utiliza se encuentra una para recopilar información sobre el program instalado, conexiones abiertas y procesos en ejecución un servidor internet de carga de archivos y ejecución de comandos y una puerta trasera personalizada escrita en C #.

Las muchas herramientas y servicios legítimos que APT20 aprovecha en sus ataques incluyen PowerShell, interfaz de línea de comandos, servicios remotos externos e Instrumental de administración de Home windows (WMI) y recursos compartidos de administración de Windows. APT20 utiliza herramientas legítimas en todos los aspectos de la cadena de ataque, desde el acceso inicial y la ejecución, hasta la escalada de privilegios y el movimiento lateral, hasta la persistencia, la evasión de la defensa, la recolección, la exfiltración y el comando y command. Los datos de ataque muestran que los miembros de APT20 probablemente tengan su base en China y sigan una rutina diaria de trabajo de ocho a 10 horas, sin trabajo durante los fines de semana.

Actividad de espionaje económico
APT20 es uno de los numerosos actores de amenazas que se cree están involucrados en actividades de espionaje económico en apoyo de iniciativas del gobierno chino, como «Built in China 2025» y «Belt and Street». Aunque el presidente de China, Xi Jinping, firmó un acuerdo con los EE. UU. En 2015 para no participar en el espionaje económico habilitado por el ciberseguridad, según los expertos en seguridad, poco ha cambiado.

Por ejemplo, se cree que el primer avión comercial de fabricación nacional de China, el C919, que se lanzará en algún momento en los próximos años, se basa en diseños tomados de otras compañías aeroespaciales. En un informe a principios de este año, el vendedor de seguridad CrowdStrike describió un grupo APT llamado Turbine Panda dirigido a compañías aeroespaciales desde al menos 2010 en apoyo de la empresa de aviación comercial.

El año pasado, ProtectWise publicó un informe que explain cómo había vinculado varios grupos de amenazas, operando bajo un grupo paraguas llamado «Winnti», con el aparato de inteligencia de China.

FireEye, que mantiene un lista de grupos APT, enumera varios con enlaces sospechosos a China. La lista incluye APT12 dirigida a empresas gubernamentales y de defensa APT10 se centró en la construcción, telecomunicaciones, empresas de ingeniería y otros sectores APT41 dirigido a atención médica, alta tecnología y otros y APT40 enfocado en ingeniería y defensa.

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más concepts





Enlace a la noticia primary