Grupos APT chinos dirigidos a Linux para empresas …



Las organizaciones de múltiples industrias se comprometieron en un esfuerzo sistemático para robar IP y otros datos comerciales confidenciales, dice BlackBerry.

Cinco grupos de amenazas relacionadas que durante la última década han estado robando sistemáticamente propiedad intelectual de compañías estadounidenses aparentemente en nombre del gobierno chino parecen estar listos para hacer aún más daño en medio de la pandemia de COVID-19.

Los grupos se han dirigido con éxito a empresas en múltiples industrias críticas a través de ataques multiplataforma en servidores de fondo que a menudo se utilizan para almacenar datos confidenciales. Los atacantes se han centrado especialmente en los servidores Linux empresariales porque muchos de estos sistemas no están tan bien protegidos como otras infraestructuras clave, dijeron investigadores de BlackBerry en un informe sobre las actividades de ciberespionaje de los cinco grupos.

El acceso que los grupos de amenazas han obtenido a lo largo de los años en estas redes ahora los coloca en una posición maliciosa para explotar maliciosamente el reciente aumento en el teletrabajo relacionado con COVID-19, dice Eric Cornelius, arquitecto jefe de productos de BlackBerry.

«Las herramientas identificadas en estas campañas de ataque en curso ya están en su lugar para aprovechar los mandatos de trabajar desde casa», dice Cornelius. Si bien la mayoría de la fuerza laboral ahora está teletrabajando, la propiedad intelectual permanece neighborhood en los sistemas empresariales, muchos de los cuales están basados ​​en Linux, dice. «El número reducido de individual en el sitio para mantener la seguridad de estos sistemas críticos agrava los riesgos», señala Cornelius.

De acuerdo con BlackBerry, los cinco grupos con sede en China que investigó para su informe generalmente han perseguido diferentes objetivos y metas. Sin embargo, también han colaborado entre sí de manera bastante significativa en el espionaje económico y las campañas de robo de propiedad intelectual que interesan al gobierno chino.

En los últimos años, este robo ha provocado una preocupación y consternación generalizadas en los Estados Unidos y otros países. El gobierno de Estados Unidos acusó a China de intentar saltar a otros países robando secretos comerciales críticos e IP de entidades occidentales y usándolos para construir sus propios productos. Muchos creen que el supuesto robo de datos que está ocurriendo está diseñado para apoyar iniciativas importantes como «Hecho en China 2025». El gobierno de EE. UU. Ha abierto unas 1,000 investigaciones sobre la actividad de espionaje de China y ha emitido acusaciones contra múltiples individuos por robo de datos habilitado por ciberseguridad.

Los grupos en el informe de BlackBerry han estado operando bajo un enfoque que BlackBerry ha denominado WINNTI, bajo el cual se agrupan grupos de contratistas civiles en China y se comparten herramientas de ataque e inteligencia para alcanzar un objetivo común.

Otros proveedores de seguridad han utilizado el término WINNTI en asociación con una pieza de malware. Algunos han asignado el nombre a un grupo avanzado de amenazas persistentes (APT) y otros han descrito a WINNTI como un término typical para múltiples grupos APT que trabajan en nombre del gobierno chino. «Lo entendemos más como un enfoque para los equipos de campo, que evaluamos probablemente están compuestos por contratistas con misiones cambiantes», dice Cornelius.

Cuatro de los cinco grupos en el informe de BlackBerry son conocidos previamente: Bronze Union (también conocido como Emissary Panda, APT27), PassCV, Casper (también conocido como Direct) y el grupo primary WINNTI APT. El quinto es un grupo de celdas de astillas de Linux que BlackBerry está rastreando como WLNXSPLINTER.

Los grupos tienen diferentes objetivos y objetivos de misión, pero comparten varias cosas en común, incluido, lo más importante, el mismo malware e infraestructura de Linux.

Pila completa de malware de Linux
Cornelius dice que BlackBerry encontró una pila completa de malware a nivel de kernel de Linux que comparten los grupos APT chinos. El malware incluye puertas traseras, troyanos de acceso remoto e implantes para llevar a cabo una amplia gama de actividades maliciosas. Uno de los grupos también parecía estar conectado a una pink de bots masiva distribuida de denegación de servicio de Linux que los investigadores observaron por primera vez en 2014 que se usaba ampliamente contra objetivos en Asia.

Juntos, los grupos han dirigido los entornos Purple Hat Enterprise, CentOS y Ubuntu Linux a organizaciones en casi todas las regiones geográficas y casi todos los sectores verticales de la industria, incluidos el gobierno, defensa / militar, tecnología, telecomunicaciones, productos farmacéuticos, fabricación y juegos. Los atacantes han estado utilizando servidores Linux comprometidos como cabezas de playa operativas mientras permanecen casi completamente sin ser detectados, dijo BlackBerry.

La elección de la orientación es importante porque los servidores Linux se implementan ampliamente en los centros de datos empresariales, incluidos los que pertenecen a las principales empresas de tecnología y organizaciones de comercio electrónico, señaló BlackBerry.

Muchos proveedores de servicios en la nube también usan servidores Linux para alojar datos empresariales. Sus configuraciones siempre activas y siempre disponibles han convertido a los servidores basados ​​en Linux en objetivos populares para grupos patrocinados por el estado, incluidos los de China, Rusia y Estados Unidos, dijo BlackBerry. Al mismo tiempo, muchas organizaciones no son tan conscientes del panorama de amenazas de Linux, y tampoco están tan preparadas para enfrentarlo en comparación con las amenazas dirigidas a entornos Home windows y macOS, señaló el proveedor.

Además de compartir malware de Linux, los cinco grupos en la investigación de BlackBerry también fueron observados atacando a compañías de videojuegos. El objetivo de estos ataques period robar certificados de firma de código que los actores de amenazas usaban para firmar su malware.

Más recientemente, los actores de la amenaza han comenzado a comprometer a los desarrolladores de adware y a usar sus certificados de firma de código para firmar malware. El uso de dicho software package de firma de código ha permitido que los grupos de amenazas permanezcan ocultos a la vista en redes comprometidas, dijo BlackBerry.

Además de atacar los servidores de Linux, los cinco grupos de amenazas también se han dirigido ampliamente a los sistemas de back-conclusion de Home windows y dispositivos móviles con Android.

Las muestras de malware de Android que BlackBerry descubrió en su investigación incluyeron un implante desarrollado por WINNTI para Android.

Curiosamente, el implante luego estuvo disponible como una herramienta de administración remota comercial multiplataforma de una compañía llamada World Wired Labs. El producto está actualmente disponible como una herramienta legítima para los respondedores de incidentes y los administradores de sistemas. Según Cornelius, existen sorprendentes similitudes en el código entre el implante desarrollado por WINNTI y la herramienta comercial a pesar de que la primera fue anterior a la segunda por casi dos años.

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más concepts





Enlace a la noticia authentic