Conexión descubierta entre el grupo de hackers chinos APT15 y el contratista de defensa


En un informe publicado hoy, la firma de ciberseguridad Lookout dijo que encontró evidencia que conectaba el malware de Android que se usaba para espiar a las minorías en China a un gran contratista de defensa del gobierno de la ciudad de Xi&#39an.

Informe de 52 páginas de Lookout (PDF) detalla una campaña de piratería de un año que se ha dirigido principalmente a la minoría étnica uigur, que vive en el oeste de China, pero también a la comunidad tibetana, en menor grado.

La campaña infectó a individuos en estas comunidades con malware, permitiendo a los hackers del gobierno vigilar las actividades de las comunidades minoritarias en las regiones fronterizas de China, pero también viviendo en el extranjero en al menos otros 14 países.

«La actividad de estas campañas de vigilancia se observó desde 2013», dijeron los investigadores de Lookout.

La compañía atribuyó esta vigilancia secreta a un grupo de piratería que creen que opera en nombre del gobierno chino.

Algunas de las operaciones de piratería anteriores del grupo han sido documentadas por otras empresas de seguridad cibernética, y el grupo de piratería ya es conocido en los círculos de la industria con diferentes nombres en clave, como APT15, GREF, Ke3chang, Mirage, Vixen Panda y Playful Dragon.

La gran mayoría de los ataques APT15 anteriores involucraron malware diseñado para infectar los escritorios de Windows, pero Lookout dijo que el grupo también desarrolló un arsenal de herramientas de piratería de Android.

Las herramientas de piratería que ya se conocían incluyen cepas de malware identificadas como HenBox, PluginPhantom, Spywaller y DarthPusher. Además de esto, Lookout dijo que también descubrió cuatro nuevos, a los que denominaron SilkBean, DoubleAgent, CarbonSteal y GoldenEagle. (vea la imagen a continuación para ver sus características)

gref-malware.png

Imagen: Mirador

Lookout dijo que indudablemente vinculaba estas nuevas cepas de malware de Android con las herramientas de pirateo de Android APT15 anteriores debido a la infraestructura compartida y el uso de los mismos certificados digitales para firmar varias muestras.

gref-tools.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/07/02/8dff27d4-8a63-49ef-be12-b22a537e07f4/gref-tools.png

Imagen: Mirador

Para distribuir su malware, Lookout dijo que APT15 no subió las aplicaciones en Google Play Retail outlet, sino que usó una técnica conocida como «ataque de abrevadero«, donde piratearon sitios legítimos e insertaron código malicioso en ellos. El código malicioso redirigió a los usuarios a páginas net, foros, tiendas de aplicaciones y otros sitios desde donde se les pidió a los usuarios descargar e instalar aplicaciones infectadas con el malware APT15.

Lazos con un contratista de defensa en el centro de China

Pero Lookout dijo que durante las primeras etapas de su investigación sobre el nuevo malware APT15, encontraron un servidor de comando y manage para el spy ware GoldenEagle que quedó sin protección.

Los investigadores de seguridad dijeron que accedieron al servidor y recopilaron información sobre las víctimas y los operadores que administraban el malware.

Mirando a través de los registros, Lookout dijo que encontró datos de los primeros dispositivos infectados con GoldenEagle. Cuando Lookout trazó las coordenadas GPS obtenidas de estos dispositivos infectados, descubrieron que la mayoría estaban alrededor de un área única.

Lookout dijo que las coordenadas GPS trazadas alrededor de un edificio que alberga las oficinas de Xi&#39an Tianhe Defence Technological know-how, un gran contratista de defensa en la ciudad de Xi&#39an, en el centro de China.

apt15-map.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/07/02/a02866af-e7c5-4412-b51d-ab1657ef40f5/apt15-map.png

Imagen: Mirador

Los investigadores de seguridad dijeron que estas infecciones iniciales, junto con sus coordenadas GPS, parecen ser para dispositivos infectados en la fase temprana de desarrollo del malware, y probablemente dispositivos de prueba, lo que sugiere que la compañía probablemente fue la que desarrolló el malware GoldenEagle.

Otros APT doxed

El hecho de que Lookout vinculó una muestra de malware APT15 a un contratista de defensa chino no es un descubrimiento novedoso. De 2017 a 2019, otros cuatro grupos de piratería patrocinados por el estado chino han sido vinculados a contratistas contratados por agencias de inteligencia chinas que operan en varias oficinas regionales.

Esto incluye:

  • APT3 – vinculado a una empresa llamada Boyusec que opera en nombre de los funcionarios de seguridad del estado chino en la provincia de Guangdong
  • APT10 – vinculado a varias empresas que operan en nombre de los funcionarios de seguridad del estado chino en la provincia de Tianjin
  • APT17 – vinculado a varias empresas que operan en nombre de los funcionarios de seguridad del estado chino en la provincia de Jinan
  • APT40 – vinculado a varias compañías fantasma que operan en nombre de los funcionarios de seguridad del estado chino en la provincia de Hainan

Los operadores detrás de APT3 y APT10 finalmente fueron acusados ​​por el Departamento de Justicia de EE. UU. En noviembre de 2017 y diciembre de 2018, respectivamente.

Según los informes de inteligencia sobre amenazas anteriores publicados por la empresa de ciberseguridad Recorded Future y CrowdStrike, el Ministerio de Seguridad del Estado de China externaliza las operaciones de piratería a contratistas externos, que informan directamente y reciben órdenes de los funcionarios de inteligencia.



Enlace a la noticia initial