Es unbelievable que las acusaciones impidan la actividad de APT41 en China



Hasta ahora, al menos, el grupo de amenazas no ha permitido que el escrutinio público lo frene, dicen los investigadores de seguridad.

Los investigadores de seguridad tienen pocas esperanzas de que las acusaciones reveladas esta semana contra cinco miembros del grupo de amenazas APT41 con sede en China lo disuadirán de actuar con la misma impunidad que lo ha hecho durante los últimos años.

El Departamento de Justicia de EE. UU. Reveló el miércoles dos acusaciones, una de agosto de 2019 y la otra de agosto de 2020, que acusa a cinco miembros de APT41 de intrusiones informáticas, incluidos ataques de ransomware y esquemas de criptojacking en más de 100 empresas en EE. UU. Y en el extranjero.

Los cinco individuos están acusados ​​de atacar a empresas de telecomunicaciones, empresas de desarrollo de computer software, fabricantes de hardware informático, empresas de videojuegos y otros en ataques destinados a robar código fuente, secretos comerciales, datos de clientes, certificados de firma de código y otra información.

Tres de los acusados ​​están acusados ​​de operar una empresa con sede en China llamada Chengdu 404 Community Technological innovation, que supuestamente utilizaron como fachada para llevar a cabo ataques a nivel mundial. En algunos casos, las personas que trabajaban para la empresa irrumpieron en sistemas que pertenecen a proveedores de software y los utilizaron para distribuir malware y facilitar más ataques.

Dos de los acusados ​​de APT41 también están acusados ​​de colaborar con dos empresarios en Malasia en una campaña para defraudar a las empresas de videojuegos. Se alega que los individuos irrumpieron en plataformas de juego ampliamente utilizadas y robaron o generaron moneda de videojuegos y otros artículos de valor electronic.

Ambos ciudadanos de Malasia, identificados como Wong Ong Hua, de 46 años, y Ling Yang Ching, de 32, fueron arrestados este mes y podrían ser extraditados a Estados Unidos para ser juzgados. Los dos están acusados ​​de operar una empresa llamada Sea Gamer Mall como fachada para llevar a cabo ataques a empresas de videojuegos. Mientras tanto, los cinco individuos de APT41, que también se rastrea como «Winnti», «Wicked Panda», «Bario» y «Wicked Spider», permanecen en libertad en China. El Departamento de Justicia los identificó como Tan Dailin, de 35 años Zhang Haoran, 35 años Qian Chuan, de 39 años Jiang Lizhi, de 35 años y Fu Qiang, 37.

Los siete acusados enfrenta una gran cantidad de cargos criminales eso podría llevarlos a entre cinco y 20 años de prisión en Estados Unidos si son declarados culpables de todos los cargos.

Probabilidad remota
Sin embargo, la probabilidad de que eso suceda sigue siendo remota, al menos para los miembros de APT41 con sede en China.

«Mientras los supuestos miembros del grupo Winnti no abandonen China, no arriesgan nada», dice Mathieu Tartare, investigador de malware de ESET, que ha seguido de cerca las actividades de APT41. «Así que no creemos que (las acusaciones) probablemente retrasarán al grupo».

Brandon Hoffman, CISO de Netenrich, dice que si bien la transmisión de acusaciones contra presuntos ciberdelincuentes en otros países es significativa, el impacto serious depende de otros factores.

«Muchos de estos países no han categorizado esta actividad como realmente ilegal, por lo que incluso si hubiera algún acuerdo de extradición, no es ilegal allí», dice. «La única razón por la que hemos visto que esto es efectivo es cuando el delincuente viaja a un lugar donde Estados Unidos tiene un acuerdo o autoridad. Casi sin falta, estos delincuentes se toman unas vacaciones en algún lugar y son atrapados de vacaciones».

Los investigadores de seguridad consideran que APT41, también conocido como Winnti, es un grupo de amenazas particularmente activo que en los últimos años ha llevado a cabo una amplia gama de ataques utilizando una cartera de herramientas personalizadas y legítimas. Se cree que el grupo está trabajando en nombre de los servicios de inteligencia de China en al menos algunas de sus campañas. Existe cierta incertidumbre sobre si Winnti / APT41 es el término common para una colección de grupos más pequeños, o si es solo un grupo grande de actores de amenazas.

FireEye, que publicado un informe completo sobre las actividades del grupo el año pasado, lo ha descrito como una operación con una doble misión: realizar espionaje en nombre del gobierno chino y llevar a cabo ataques con motivaciones financieras que potencialmente no cuentan con el respaldo del estado. La teoría de FireEye, de hecho, es que existe una especie de arreglo quid-pro-quo entre el gobierno chino y APT41, donde el primero ha estado dispuesto a hacer la vista gorda ante las actividades delictivas de este último a cambio de que APT41 lleve a cabo un ciberespionaje. actividad. FireEye ha señalado que el acuerdo le ha dado a Beijing la oportunidad de llevar a cabo un ciberespionaje a gran escala con una negación plausible.

Beijing respaldado
Al anunciar las acusaciones esta semana, las autoridades estadounidenses señalaron públicamente la misma conexión: «Lamentablemente, el partido comunista chino ha elegido un camino diferente para hacer que China sea segura para los ciberdelincuentes siempre que ataquen computadoras fuera de China y roben propiedad intelectual útil para China. «

El gobierno de EE. UU. Se ha expresado cada vez más en llamar a China por supuestamente patrocinar una amplia gama de actividades de espionaje en apoyo de objetivos económicos a largo plazo. El Departamento de Justicia ha dictado acusaciones contra varias personas con sede en China recientemente, incluidas dos en julio por presuntamente intentar robar propiedad intelectual relacionados con la investigación de COVID-19.

Según FireEye, APT41 ha sido el actor de amenazas persistentes avanzadas más activo que ha rastreado en lo que va de año. Steven Stone, director de prácticas avanzadas de FireEye, dice que su compañía ha observado tres tendencias consistentes con APT41. La primera es que el grupo no parece verse afectado en gran medida por el escrutinio público de sus actividades.

«FireEye, junto con muchos otros proveedores, ha informado ampliamente sobre este grupo sin cambios observados en su actividad», dice Stone. «Sabemos que APT41 está al tanto de este informe público, ya que FireEye los ha observado leyendo varios artículos públicos que hemos publicado sobre su actividad».

El otro patrón coherente con el grupo ha sido su actividad en una amplia gama de industrias y regiones. Entre sus víctimas se encuentran organizaciones que van desde organizaciones gubernamentales hasta empresas de juegos de azar en 100 países, incluidos EE. UU., Australia, Brasil, India, Japón y Malasia.

«Esto hace que sea difícil observar un cambio, ya que han estado activos en una amplia gama de objetivos casi desde el principio», dice Stone.

El tercer aspecto de las actividades de APT41 ha sido la forma en que ha llevado a cabo los ataques. A lo largo de los años, APT41 ha tendido a ceñirse a un conjunto mayoritariamente consistente de tácticas, técnicas y procedimientos (TTP) en sus ataques. El actor de amenazas ha estado utilizando una combinación de herramientas disponibles públicamente, herramientas personalizadas establecidas y nuevas herramientas personalizadas netas.

«En pocas palabras, APT41 es consistente en (su) enfoque combinado y en evolución para las intrusiones y adapta sus TTP según sea necesario para el éxito», dice Stone.

Según Tartare, la actividad APT41 más reciente que rastreó ESET fue a finales de agosto y principios de septiembre.

«Hemos visto al Grupo Winnti dirigido a los sectores académico y educativo de Taiwán, una plataforma de comercio electrónico en Asia y la industria de los videojuegos», dice.

En los últimos meses, Tartare dice que ESET ha observado que los actores de APT41 confían más en una puerta trasera llamada CROSSTALK en sus ataques, pero que también ha seguido utilizando sus otras herramientas de malware.

«El grupo hace uso con frecuencia de nuevo malware adaptado a la situación, pero no lo hemos visto usando un nuevo malware insignia», dice.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary