Firma china de antivirus fue parte del ataque APT41 a la «cadena de suministro»: Krebs on Security


los Departamento de Justicia de Estados Unidos esta semana acusó a siete ciudadanos chinos de una ola de piratería de una década que tuvo como objetivo a más de 100 compañías de juegos en línea y de alta tecnología. El gobierno alega que los hombres utilizaron correos electrónicos de phishing con malware y ataques a la «cadena de suministro» para robar datos de las empresas y sus clientes. Uno de los presuntos piratas informáticos apareció por primera vez aquí en 2012 como propietario de una empresa antivirus china.

Imagen: FBI

Carga de documentos dicen que los siete hombres son parte de un grupo de piratería conocido como «APT41, «»Bario, «»Winnti, «»Panda malvado, «Y»Araña malvada. » Una vez dentro de una organización objetivo, los piratas informáticos robaron el código fuente, los certificados de firma de código de application, los datos de la cuenta del cliente y otra información que podrían usar o revender.

Las actividades de APT41 abarcan desde mediados de la década de 2000 hasta la actualidad. A principios de este año, por ejemplo, el grupo estaba vinculado a una campaña de malware particularmente agresiva que explotaba vulnerabilidades recientes en productos de redes de uso generalizado, incluidas fallas en Cisco y D-Hyperlink enrutadores, así como Citrix y Legumbres Dispositivos VPN. Firma de seguridad FireEye denominó ese bombardeo de piratería «una de las campañas más amplias de un actor chino de ciberespionaje que hemos observado en los últimos años».

El gobierno alega que el grupo monetizó su acceso ilícito mediante la implementación de ransomware y «criptojacking”Herramientas (utilizando sistemas comprometidos para minar criptomonedas como Bitcoin). Además, la pandilla apuntó a las empresas de videojuegos y sus clientes en un intento por robar artículos digitales de valor que podrían revenderse, como puntos, poderes y otros artículos que podrían usarse para mejorar la experiencia de juego.

Se sabía que APT41 ocultaba su malware dentro de currículums falsos que se enviaban a los objetivos. También implementó ataques a la cadena de suministro más complejos, en los que piratearían una empresa de software package y modificarían el código con malware.

“La empresa de software package víctima, que no conocía los cambios en su producto, posteriormente distribuiría el program modificado a sus clientes terceros, quienes fueron defraudados para que instalaran código de software package malicioso en sus propias computadoras”, explican las acusaciones.

Si bien los diversos documentos de acusación publicados en este caso no lo mencionan for each se, está claro que los miembros de este grupo también favorecieron otra forma de ataques a la cadena de suministro: ocultar su malware dentro de herramientas comerciales que crearon y anunciaron como computer software de seguridad legítimo y utilidades de Laptop. .

Uno de los hombres acusados ​​como parte de APT41, ahora tiene 35 años Tan DaiLin – fue el tema de una historia de KrebsOnSecurity de 2012 que buscaba arrojar luz sobre un producto antivirus chino comercializado como Anvisoft. En ese momento, el producto había sido «incluido en la lista blanca» o marcado como seguro por los proveedores de antivirus más establecidos de la competencia, aunque la empresa parecía no responder a las quejas de los usuarios ni a las preguntas sobre su liderazgo y orígenes.

Tan DaiLin, también conocido como «Wicked Rose», en su juventud. Imagen: iDefense

Anvisoft afirmó tener su sede en California y Canadá, pero una búsqueda en el nombre de la marca de la empresa arrojó registros de registro de marcas que colocan a Anvisoft en la zona de alta tecnología de Chengdu en la provincia de Sichuan de China.

Una revisión de los registros de registro del sitio world-wide-web de Anvisoft mostró que el dominio de la empresa fue creado originalmente por Tan DaiLin, un infame pirata informático chino que se conocía con los alias «Wicked Rose» y «Withered Rose». En el momento de la historia, DaiLin tenía 28 años.

Esa historia citó un informe de 2007 (PDF) de iDefense, que detalla el papel de DaiLin como líder de un equipo de piratería de cuatro hombres patrocinado por el estado llamado NCPH (abreviatura de Community Crack Method Hacker). Según iDefense, en 2006 el grupo fue responsable de la creación de un rootkit que aprovechó una vulnerabilidad de día cero en Microsoft Phrase y se utilizó en ataques a “una gran entidad del Departamento de Defensa” dentro de los EE. UU.

«Wicked Rose y el grupo de piratas informáticos NCPH están implicados en múltiples ataques basados ​​en Office durante un período de dos años», indica el informe de iDefense.

Cuando escaneé por primera vez Anvisoft en Virustotal.com en 2012, ninguno de los productos antivirus lo detectó como sospechoso o malicioso. Pero en los días siguientes, varios productos antivirus comenzaron a marcarlo por incluir al menos dos programas troyanos diseñados para robar contraseñas de varias plataformas de juegos en línea.

Los analistas de seguridad y los fiscales estadounidenses dicen que APT41 operaba desde una empresa china llamada Chengdu 404 que pretendía ser una empresa de tecnología de redes, pero que sirvió como fachada legal para las actividades ilegales del grupo de piratería, y que Chengdu 404 usó su crimson worldwide de sistemas comprometidos como una especie de pink de búsqueda de información que podría ser útil para el Partido Comunista Chino.

Oficinas de Chengdu404 en China. Imagen: DOJ.

«CHENGDU 404 desarrolló un producto de» macrodatos «llamado»SonarX, &#39Que se describió … como un&#39 Sistema de evaluación de riesgos de la información &#39”, se lee en la acusación del gobierno. «SonarX sirvió como un repositorio de fácil búsqueda para datos de redes sociales que previamente habían sido obtenidos por CHENGDU 404».

El grupo supuestamente usó SonarX para buscar personas vinculadas a varios movimientos democráticos e independentistas de Hong Kong, y fisgonear en un medio de comunicación respaldado por Estados Unidos que publicaba historias que examinaban el trato del gobierno chino a Pueblo uigur que vive en su región Xinjian.

Como señaló TechCrunch, después de que se presentaron las acusaciones, los fiscales dijeron que obtuvieron órdenes para incautar sitios web, dominios y servidores asociados con las operaciones del grupo, cerrándolos de manera efectiva y obstaculizando sus operaciones.

«Todavía se cree que los presuntos piratas informáticos están en China, pero las acusaciones sirven como un esfuerzo de &#39nombre y vergüenza&#39 empleado por el Departamento de Justicia en los últimos años contra los atacantes cibernéticos respaldados por el Estado». escribió TechCrunch’s Zack Whittaker.


Etiquetas: anvisoft, APT41, Bario, Chengdu 404, Cisco, Citrix, D-Url, Pulse, SonarX, Tan Dailin, Techcrunch, Wicked Panda, Wicked Rose, Wicked Spider, Winnti, Withered Rose, Zack Whittaker

Esta entrada se publicó el jueves 17 de septiembre de 2020 a las 6:03 p.m. y está archivada en Ne&#39er-Do-Effectively News.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puede saltar hasta el last y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia authentic