Los grupos de piratas informáticos patrocinados por el estado utilizan cada vez más …



Microsoft cierra las instancias de Azure Active Directory utilizadas por los atacantes para evadir la detección y advierte que el uso de herramientas de código abierto por parte de grupos de espionaje está creciendo.

Los grupos de espionaje utilizan cada vez más servicios basados ​​en la nube y herramientas de código abierto para crear su infraestructura para recopilar datos y ataques cibernéticos, intentando ocultar sus actividades en la enorme cantidad de servicios y recursos utilizados por organizaciones legítimas.

La semana pasada, Microsoft suspendió 18 «aplicaciones» de Azure Lively Listing que la compañía identificó como un componente del canal de comando y regulate de un grupo de espionaje chino. Apodado GADOLINIUM por Microsoft, el grupo de ciberataques ha adoptado una combinación de infraestructura en la nube, que puede reconstituirse rápidamente en caso de una eliminación, y herramientas de código abierto, que pueden ayudar a que las acciones de los atacantes se mezclen en una actividad más legítima.

El grupo no es el único grupo patrocinado por el estado que emplea cada vez más la infraestructura en la nube y herramientas de código abierto, según Microsoft Menace Intelligence Centre (MSTIC).

«MSTIC ha notado una tendencia lenta de varios grupos de actividad de estado-nación que migran a herramientas de código abierto en los últimos años … un intento de hacer más difícil el descubrimiento y la atribución», declaró Microsoft en una publicación de web site. «El otro beneficio adicional del uso de tipos de kits de código abierto es que el desarrollo y la creación de nuevas funciones son realizados y creados por otra persona sin costo».

GADOLINIUM, también conocido como APT40, Kryptonite Panda y Leviathan, se ha centrado en robar información marítima e investigaciones asociadas de las universidades para promover la expansión de su armada en China, según un análisis por la firma de servicios de ciberseguridad FireEye. Si bien el grupo de espionaje ha jugado con la infraestructura en la nube desde 2016, el uso de herramientas de código abierto solo ha sucedido en los últimos dos años, Microsoft dijo en su propio análisis.

Al utilizar herramientas y servicios básicos, los atacantes no solo se mezclan con la actividad legítima de manera más completa, sino que también se vuelven más difíciles de identificar como un grupo específico, dice Dennis Wilson, director worldwide de SpiderLabs en Trustwave, una firma de servicios de seguridad.

«Un atacante sofisticado se vuelve mucho más difícil de identificar cuando united states of america herramientas de código abierto y activos en la nube fácilmente disponibles para realizar sus ataques», dice, y agrega que «si 20 o 30 grupos diferentes están usando el mismo malware y las mismas técnicas, se vuelve mucho más difícil distinguirlos por sus herramientas y tácticas «.

GADOLINIUM no es el único grupo de espionaje que utiliza herramientas comunes para intentar escapar de la detección. Varias empresas de seguridad han señalado que los atacantes «viven de la tierra» cada vez más mediante el uso de herramientas administrativas ya instaladas en sistemas específicos como una forma de ocultar sus actividades. Por ejemplo, otro grupo de ciberataques chino, conocido como APT41, Wicked Panda, Barium o Axiom, tiene herramientas utilizadas ampliamente disponibles, como Microsoft BITSAdmin y el marco Metasploit, para atacar una amplia variedad de países e industrias, alcanzando objetivos en Australia, Canadá, Italia, Japón, Filipinas, Qatar y Suecia, por nombrar algunos.

A principios de este mes, el Departamento de Justicia de los EE. UU. Acusó a cinco ciudadanos chinos y dos ciudadanos malasios como parte de una investigación sobre APT41, alegando que trabajaron juntos en intrusiones en más de 100 empresas estadounidenses.

«El Departamento de Justicia ha utilizado todas las herramientas disponibles para interrumpir las intrusiones informáticas ilegales y los ciberataques de estos ciudadanos chinos», dijo el fiscal standard adjunto Jeffrey A. Rosen, en una declaración anunciando los arrestos. «Lamentablemente, el partido comunista chino ha elegido un camino diferente para hacer que China sea segura para los ciberdelincuentes siempre que ataquen computadoras fuera de China y roben propiedad intelectual útil para China».

En el incidente de ataque que Microsoft describió en su análisis, GADOLINIUM usó una variante de PowerShell, conocida como PowerShell Empire, para conectarse a Azure Lively Directory y al almacenamiento OneDrive de Microsoft. Los sistemas automatizados tienen dificultades para detectar tales ataques, ya que la variante de PowerShell y el hecho de que se conecte a un servicio en la nube conocido generalmente no se consideran actividades sospechosas, afirmó Microsoft en su análisis.

«El uso de este módulo PowerShell Empire es particularmente difícil de identificar para el monitoreo de SOC tradicional», declaró MSTIC en su publicación de blog. «Desde una perspectiva de monitoreo de red o endpoint, la actividad inicialmente parece estar relacionada con aplicaciones confiables que utilizan API de servicios en la nube confiables».

Otra ventaja de basar la infraestructura de ciberataques en la nube es que un número cada vez mayor de empresas y organizaciones específicas también tienen activos en la nube. Usar la misma infraestructura que el objetivo puede facilitar la explotación, dice Wilson de Trustwave.

«Si encuentra una táctica que funciona contra Microsoft Azure, por ejemplo, pueden aplicar esa misma táctica o técnica a cualquier organización que use esa misma tecnología», dice. «En el pasado, una empresa puede haber tenido este proveedor para un firewall y este proveedor para una solución (detección y respuesta de puntos finales), pero ahora hay muchas empresas que utilizan la misma infraestructura en la nube, por lo que ahora se convierte en un modelo enfoque para que los atacantes exploten empresas a través de esa infraestructura «.

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dark Looking at, MIT&#39s Technology Evaluation, Well-liked Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first