Cazador contra espía: el informe ‘Pacific Rim’

Sophos detalla su operación defensiva y de contraofensiva frente a múltiples ciberdelincuentes interconectados con sede en China

Sophos, lanzó el informe “Pacific Rim”, que detalla su operación de defensa y contraataque a lo largo de los últimos cinco años frente a varios adversarios de Estados-nación con sede en China que apuntaron a dispositivos perimetrales, incluidos firewalls de Sophos.

Los atacantes ejecutaron campañas con exploits novedosos y malware personalizado para realizar espionaje, sabotaje y vigilancia cibernética, utilizando tácticas, herramientas y procedimientos similares a grupos de Estado chino bien conocidos como Volt Typhoon, APT31 y APT41.

Los objetivos incluyeron infraestructura crítica y entidades gubernamentales en Asia del Sur y Sudeste, entre ellos proveedores de energía nuclear, un aeropuerto de capital nacional, un hospital militar, sistemas de seguridad estatal y ministerios centrales de gobierno.

A lo largo del informe «Pacific Rim», Sophos X-Ops, la unidad de inteligencia en ciberseguridad y amenazas de Sophos, trabajó para neutralizar los movimientos de los cibercriminales, mejorando continuamente las defensas y contraofensivas. Tras responder a los ataques iniciales, Sophos observó una escalada en los esfuerzos de los atacantes, quienes desplegaron operadores más experimentados. Esto permitió a Sophos descubrir un vasto ecosistema de adversarios.

Desde 2020, Sophos ha informado sobre campañas específicas, como Cloud Snooper y Asnarök, y hoy ofrece un análisis general de la investigación para alertar sobre la persistencia de los adversarios chinos y su enfoque en dispositivos perimetrales, sin soporte y con vulnerabilidades de fin de vida útil (EOL), a menudo mediante exploits de día cero creados para tales dispositivos.

Sophos exhorta a las organizaciones a aplicar parches para vulnerabilidades en dispositivos con acceso a internet y migrar los equipos antiguos sin soporte. Los clientes de Sophos Firewall están protegidos a través de hotfixes rápidos que se aplican de forma predeterminada.

“La realidad es que los dispositivos periféricos se han convertido en objetivos muy atractivos para los grupos estatales chinos como Volt Typhoon y otros, que buscan construir redes ORB (Operational Relay Boxes) para ocultar y respaldar su actividad.

Esto incluye atacar directamente a una institución con fines de espionaje, o aprovechar indirectamente cualquier punto débil para ataques posteriores, convirtiéndose en daños colaterales. Incluso las instituciones que no son objetivo están siendo atacadas.

Los dispositivos de red diseñados para las empresas son objetivos naturales para estos fines: son potentes, están siempre encendidos y tienen conectividad constante”, afirma Ross McKerchar, CISO de Sophos.

“Cuando un grupo que pretendía construir una red global de ORBs atacó algunos de nuestros dispositivos, respondimos aplicando las mismas técnicas de detección y respuesta que utilizamos para defender nuestros endpoints y dispositivos de red corporativos. Esto nos permitió detener múltiples operaciones y aprovechar un valioso flujo de inteligencia sobre amenazas que aplicamos para proteger a nuestros clientes tanto de futuros ataques generalizados como de operaciones muy selectivas”.

Puntos destacados del informe:

El 4 de diciembre de 2018, una computadora con pocos privilegios conectado a una pantalla de proyección empezó a escanear la red de Sophos (aparentemente por su cuenta) en la sede de Cyberoam en India, una empresa que Sophos adquirió en 2014.

Sophos encontró en la computadora un payload (o carga maliciosa) que monitorizaba silenciosamente el tráfico especializado entrante de Internet y que contenía un novedoso tipo de puerta trasera y un complejo rootkit: “Cloud Snooper”.

En abril de 2020, después de que varias instituciones informaran de una interfaz de usuario que apuntaba a un dominio con “Sophos” en su nombre, Sophos colaboró con las fuerzas de seguridad europeas, que localizaron y confiscaron el servidor que los adversarios utilizaron para desplegar los payloads maliciosos, en lo que denominó posteriormente Asnarök.

Sophos neutralizó Asnarök, pudiendo atribuirlo a China, tomó el control del canal de mando y control (C2) del malware, permitiendo a Sophos neutralizar unas oleadas planificadas de ataques de botnet.

Después de Asnarök, Sophos avanzó en sus operaciones de inteligencia creando un programa adicional de rastreo de actores de amenazas centrado en identificar e interrumpir a los adversarios.

El fin de estos ciberdelincuentes era explotar los dispositivos de Sophos desplegados en entornos de clientes. El programa se construyó utilizando una combinación de inteligencia de código abierto, análisis web, monitorización de telemetría e implantes de kernel dirigidos, desplegados en los dispositivos de investigación de los atacantes.

A continuación, los atacantes aumentaron su nivel de insistencia, mejorando sus tácticas y desplegando malware cada vez más sigiloso. Sin embargo, gracias a su programa de rastreo de actores de amenazas y a sus capacidades mejoradas de recopilación de telemetría, Sophos pudo adelantarse a varios ataques y obtener una copia de un bootkit UEFI y de exploits personalizados antes de que pudieran desplegarse ampliamente.

Unos meses más tarde, Sophos rastreó algunos de los ataques hasta un ciberadversario, que ha demostrado tener vínculos con China y con el Instituto de Investigación Double Helix de Sichuan Silence Information Technology, en la región de Chengdu del país.

En marzo de 2022, un investigador de seguridad anónimo informó a Sophos de una vulnerabilidad de ejecución remota de código zero-day, denominada CVE-2022-1040, como parte del programa de recompensas por fallos de la empresa. Una investigación posterior reveló que esta CVE ya estaba siendo explotada en múltiples operaciones, y que Sophos pudo evitar que afectara a los clientes.

Después de un análisis más profundo, Sophos determinó que la persona que informó del exploit podría haber tenido una conexión con los adversarios. Era la segunda vez que Sophos recibía un “chivatazo” sospechosamente oportuno sobre una vulnerabilidad antes de que se utilizara de forma maliciosa.

Consejos para los equipos de seguridad

Las organizaciones deben tener en cuenta que todos los dispositivos conectados a Internet son objetivos principales para los adversarios de los estados-nación, especialmente los dispositivos en infraestructuras críticas. Sophos anima a las instituciones a tomar las siguientes medidas para reforzar su seguridad:

• Reducir al mínimo los servicios y dispositivos conectados a Internet siempre que sea posible.
• Priorizar la aplicación de parches con urgencia para los dispositivos conectados a Internet y su posterior supervisión.
• Habilitar actualizaciones para dispositivos edge y aplicarlas automáticamente.
• Colaborar con las fuerzas de seguridad, los partners público-privados y el gobierno para compartir y actuar sobre los IoC relevantes.
• Crear un plan para abordar el modo en el que la organización se ocupa de los dispositivos EOL.