Ciber espionaje chino: Sophos detrás de una Investigación de red adversarios estado-nación con sede en China

El equipo de ciberseguridad e inteligencias de amenazas de Sophos (Sophos X-OPS), hace público el informe “Pacific Rim”, donde detallan la operacion defensiva y contra defensiva que han mantenido durante 5 años contra múltiples adversarios de Estados-nación interconectados con sede en China teniendo como objetivo los firewalls de Sophos.

Los atacantes utilizaron series de campañas con exploits nuevos y malwares personalizados para integrar herramientas de vigilancia, sabotaje y ciber espionaje que encubrían con grupos conocidos como Volt Typhoon, APT31 y APT41, lograron atacar infraestructuras críticas y gobiernos, de diferentes magnitudes de tamaño, ubicados principalmente en el sur y sudeste de Asia, incluidos los proveedores de energia nuclear, el aeropuerto de una capital nacional, un hospital militar, el aparato de seguridad del Estado y ministerios del gobierno central.

A lo largo de la operacion Sophos X-OPS ha trabajado para neutralizar los movimientos de los adversarios evolucionando continuamente las defensas y las contra ofensas, despues de que Sophos respondió con éxito a los ataques iniciales, se intensificaron los esfuerzos y trajeron a operadores más experimentados.

Sophos ha estado publicando detalles de operaciones desde el año 2020, incluyendo campañas como Cloud Snooper y Asnarök. Ahora, la compañía comparte un análisis general de la investigación para concientizar sobre la persistente amenaza de los adversarios chinos, quienes se enfocan en comprometer dispositivos perimetrales sin parches y al final de su vida útil, a menudo utilizando exploits zero-day creados para estos dispositivos. Sophos recomienda a todas las instituciones aplicar rápidamente parches para corregir las vulnerabilidades en sus dispositivos conectados a Internet y actualizar los dispositivos antiguos que no sean compatibles con los modelos actuales. Sophos protege a sus clientes actualizando constantemente sus productos ante nuevas amenazas y signos de peligro. Los clientes del Firewall de Sophos están protegidos automáticamente con actualizaciones rápidas que se activan por defecto.

Aspectos destacados del informe:

El 4 de diciembre de 2018, un ordenador con pocos privilegios conectado a una pantalla de proyección empezó a escanear la red de Sophos en la sede de Cyberoam en India, una empresa que Sophos adquirió en 2014. Sophos encontró en el ordenador un payload (o carga maliciosa) que monitorizaba silenciosamente el tráfico especializado entrante de Internet y que contenía un novedoso tipo de puerta trasera y un complejo rootkit: “Cloud Snooper”.
En abril de 2020, después de que varias instituciones informaran de una interfaz de usuario que apuntaba a un dominio con “Sophos” en su nombre, Sophos colaboró con las fuerzas de seguridad europeas, que localizaron y confiscaron el servidor que los adversarios utilizaron para desplegar los payloads maliciosos, en lo que Sophos denominó posteriormente Asnarök. Sophos neutralizó Asnarök, pudiendo atribuirlo a China, tomó el control del canal de mando y control (C2) del malware, permitiendo a Sophos neutralizar unas oleadas planificadas de ataques de botnet.
Después de Asnarök, Sophos avanzó en sus operaciones de inteligencia creando un programa adicional de rastreo de actores de amenazas centrado en identificar e interrumpir a los adversarios. El fin de estos ciberdelincuentes era explotar los dispositivos de Sophos desplegados en entornos de clientes. El programa se construyó utilizando una combinación de inteligencia de código abierto, análisis web, monitorización de telemetría e implantes de kernel dirigidos, desplegados en los dispositivos de investigación de los atacantes.
Los atacantes aumentaron su nivel de insistencia, mejorando sus tácticas y desplegando malware cada vez más sigiloso. Sin embargo, gracias a su programa de rastreo de actores de amenazas y a sus capacidades mejoradas de recopilación de telemetría, Sophos pudo adelantarse a varios ataques y obtener una copia de un bootkit UEFI y de exploits personalizados antes de que pudieran desplegarse ampliamente.
Unos meses más tarde, Sophos rastreó algunos de los ataques hasta un ciberadversario, que ha demostrado tener vínculos con China y con el Instituto de Investigación Double Helix de Sichuan Silence Information Technology, en la región de Chengdu del país.
En marzo de 2022, un investigador de seguridad anónimo informó a Sophos de una vulnerabilidad de ejecución remota de código zero-day, denominada CVE-2022-1040, como parte del programa de recompensas por fallos de la empresa. Una investigación posterior reveló que esta CVE ya estaba siendo explotada en múltiples operaciones, y que Sophos pudo evitar que afectara a los clientes. Después de un análisis más profundo, Sophos determinó que la persona que informó del exploit podría haber tenido una conexión con los adversarios. Era la segunda vez que Sophos recibía un “chivatazo” sospechosamente oportuno sobre una vulnerabilidad antes de que se utilizara de forma maliciosa.

Las organizaciones deben tener en cuenta que todos los dispositivos conectados a Internet son objetivos principales para los adversarios de los estados-nación, especialmente los dispositivos en infraestructuras críticas. Sophos anima a las instituciones a tomar las siguientes medidas para reforzar su seguridad:

Reducir al mínimo los servicios y dispositivos conectados a Internet siempre que sea posible.
Priorizar la aplicación de parches con urgencia para los dispositivos conectados a Internet y su posterior supervisión.
Habilitar actualizaciones para dispositivos Edge y aplicarlas automáticamente.
Colaborar con las fuerzas de seguridad, los partners público-privados y el gobierno para compartir y actuar sobre los IoC relevantes.
Crear un plan para abordar el modo en el que la organización se ocupa de los dispositivos EOL.