Los hackers de DarkHotel usan VPN de día cero para violar las agencias del gobierno chino


darkhotel-vpn.png

Imagen: Qihoo 360, ZDNet

Característica especial

La ciberguerra y el futuro de la ciberseguridad

Las amenazas a la seguridad de hoy se han ampliado en alcance y seriedad. Ahora puede haber millones, o incluso miles de millones, de dólares en riesgo cuando la seguridad de la información no se maneja adecuadamente.

Lee mas

Los piratas informáticos extranjeros patrocinados por el estado han lanzado una operación de piratería masiva dirigida a las agencias del gobierno chino y sus empleados.

Los ataques comenzaron el mes pasado, en marzo, y se cree que están relacionados con el coronavirus real (COVID-19) brote.

La firma de seguridad china Qihoo 360, que detectó las intrusiones, dijo que los piratas informáticos utilizaron una vulnerabilidad de día cero en Sangfor servidores VPN SSL, utilizado para proporcionar acceso remoto a redes empresariales y gubernamentales.

Qihoo dijo que descubrió más de 200 servidores VPN que han sido pirateados en esta campaña. La firma de seguridad dijo que 174 de estos servidores estaban ubicados en las redes de agencias gubernamentales en Beijing y Shanghai, y en las redes de misiones diplomáticas chinas que operan en el extranjero, en países como:

  • Italia
  • Reino Unido
  • Pakistán
  • Kirguistán
  • Indonesia
  • Tailandia
  • EAU
  • Armenia
  • Corea del Norte
  • Israel
  • Vietnam
  • Turquía
  • Malasia
  • Corrí
  • Etiopía
  • Tayikistán
  • Afganistán
  • Arabia Saudita
  • India

En un informe publicado hoyLos investigadores de Qihoo dijeron que toda la cadena de ataque period sofisticada y muy inteligente. Los hackers usaron el día cero para obtener el regulate sobre los servidores VPN de Sangfor, donde reemplazaron un archivo llamado SangforUD.exe con una versión bobobytrapped.

Este archivo es una actualización para la aplicación de escritorio Sangfor VPN, que los empleados instalan en sus computadoras para conectarse a los servidores Sangfor VPN (e inherentemente a sus redes de trabajo).

Los investigadores de Qihoo dijeron que cuando los trabajadores conectados a servidores VPN de Sangfor pirateados, se les proporcionó una actualización automática para su cliente de escritorio, pero recibieron el archivo SangforUD.exe boobytrapped, que más tarde instaló un troyano de puerta trasera en sus dispositivos.

Los hackers de DarkHotel han estado persiguiendo objetivos COVID-19

La firma de seguridad china dijo que rastreó los ataques a un grupo de hackers conocido como DarkHotel. Se cree que el grupo opera fuera de la península de Corea, aunque aún se desconoce si tienen su sede en Corea del Norte o del Sur.

El grupo, que ha estado operando desde 2007, se considera una de las operaciones de piratería patrocinadas por el estado más sofisticadas de la actualidad.

En un informe publicado el mes pasado, Google dijo que DarkHotel utilizó la friolera de cinco vulnerabilidades de día cero el año pasado, en 2019, más que cualquier otra operación de piratería de estado-nación.

A pesar de ser solo abril, el Sangfor VPN zero-working day es el tercer DarkHotel de día cero que se implementa en 2020.

A principios de este año, el grupo también ha sido visto usando días cero para los navegadores Firefox e World-wide-web Explorer para apuntar a entidades gubernamentales en China y Japón.

Los investigadores de Qihoo dijeron que los recientes ataques contra las agencias del gobierno chino podrían estar relacionados con el brote precise de coronavirus (COVID-19). La firma de seguridad china dijo que cree que DarkHotel está tratando de obtener información sobre cómo el gobierno chino manejó el brote.

Los ataques contra entidades del gobierno chino parecen ajustarse a un patrón. Hace dos semanas, Reuters informó de un Ataque de DarkHotel contra la Organización Mundial de la Salud, el organismo internacional que coordina la respuesta international a la precise pandemia de COVID-19.

Los parches ya están disponibles.

Qihoo dijo que informó la vulnerabilidad de día cero a Sangfor el viernes pasado, el 3 de abril.

Cuando ZDNet se comunicó con una declaración el día de hoy, el proveedor con sede en Shenzen no quiso comentar sobre los ataques, objetivos o piratas informáticos, y en su lugar nos redirigió a una publicación de WeChat publicada más temprano en el día.

En WeChat, el proveedor dijo que solo los servidores VPN de Sangfor con versiones de firmware M6.3R1 y M6.1 eran vulnerables y se ha confirmado que se vieron comprometidos con el día cero utilizado por DarkHotel

Sangfor dijo que los parches llegarían hoy y mañana, hoy para la versión precise de su servidor VPN SSL, y mañana para las versiones anteriores.

La compañía también planea lanzar un script para detectar si los piratas informáticos han comprometido los servidores VPN, y una segunda herramienta para eliminar los archivos implementados por DarkHotel.

Los clientes de Sangfor pueden encontrar detalles adicionales en la empresa Publicación de WeChat y su aviso de seguridad SRC-2020-281 (no público).



Enlace a la noticia original