Los atacantes se centran principalmente en operadores de TELECOM de un país asiático.
Los atacantes que utilizan herramientas, que han estado asociadas con grupos de espionaje chinos, han intentado traspasar cibernéticamente a varios operadores de telecomunicaciones en lo que ha sido una campaña de espionaje de largo aliento. La metodología ha sido la aplicación de puertas traseras en las redes de las empresas objetivo y el intento de robo de credenciales.
Los ataques se han puesto en marcha desde al menos el año 2021 y la evidencia sugiere, que esta actividad cibercriminal puede incluso haber ocurrido desde mediados del 2020. Lo que causa más curiosidad entre los expertos es que prácticamente todas las organizaciones a las cuales apuntaban, eran operadores de TELECOM incluyendo una empresa de servicios que hace parte de la cadena del sector y una universidad de otro país asiático.
¿Cuáles fueron las herramientas utilizadas en el ataque?
Durante la campaña se utilizaron malware personalizados que han estado asociados históricamente con una serie de actores de espionaje que han sido vinculados a China, entre los que destacan:
Coolclient: Es una herramienta de puerta trasera relacionada con el grupo «Fireant» (También conocida como Mustang Panda o Earth Preta). La funcionalidad de esta incluye keylogger, lectura y eliminación de archivos y comunicación con los servidores de comando y control (C&C). Para esto se utilizó una versión del reproductor VLC legítimo que se hacía pasar por un archivo de Google (googleupdate.exe) que en el fondo descargaba un archivo de Coolclient (libvlc.dll) de ejecución en segundo plano el cual lee una carga útil cifrada de un archivo denominado «loader.ja» que a su vez lee otra carga útil cifrada de un archivo denominado goopdate.ja para inyectarla en el proceso winver.exe
Quickheal: Una variante DLL de 32 bits denominada RasTls.dll de esta puerta trasera que históricamente se ha asociado con el grupo Neeedleminer (RedFoxtrot, Nomad Panda). El análisis reveló que dicha variante era casi idéntico a otras de Quickheal documentadas por Recorded Future en 2021, con modificaciones específicas de configuración en el código compilado y las ofuscaciones de VMProtect. La puerta trasera se comunicaba con un servidor C&C codificado llamado swiftandfast.net a través del puerto TCP 443 con un protocolo de comunicaciones personalizado que estaba diseñado para asemejarse al tráfico SSL, pero usando un cifrado propio.
Rainyday: Esta puerta trasera asociada con el grupo Firefly (Naikon) se ejecutó utilzando un cargador denominado fspmapi.dll. El cargador se transfiere localmente mediante un ejecutable legítimo de F-Secure denominado fsstm.exe. Una vez se carga, obtiene acceso a la carpeta del disco del ejecutable que inició el proceso y la establece como directorio actual.
A continuación, obtiene la ubicación de memoria del ejecutable y aplica parches en la memoria. Estas acciones tienen como finalidad secuestrar el flujo de ejecución cuando el malware es cargado por un ejecutable determinado que, en caso de ser exitoso, permite al cargador leer un archivo llamado dataresz, descifrar la carga útil con una clave XOR de un solo byte (0x2D) y ejecutarla como shellcode.
Las variantes menores de lo anterior incluyen una firma digital no válida de «Kapersky Lab» y otra cuyo cargador lee el shellcode cifrado de un archivo llamado IReports.
Otros TTP usados por los atacantes
Las backdoors personalizadas, no son todas las tácticas, técnicas y procedimientos (TTP) usadas por los atacantes, también se incluyen en la lista:
- Keyloggers que posiblemente fueron desarrollados a medida.
- Tres herramientas distintas de escaneo de puertos que fueron implementadas.
- Robo de credenciales ejecutados a través del volcado de las colmenas de registro.
- Respondedor, que es una herramienta disponible públicamente la cual actúa envenenando NetBIOS (NBT-NS) y DNS de multidifusión (mDNS) de resolución de nombres de multidifusión local (LLMNR).
- Habilitación de RDP.
¿Como se relacionan las herramientas mencionadas a los grupos de espionaje chinos?
Esta campaña y las herramientas utilizadas en ella, tienen asociaciones fuertes con varios actores (grupos cibercriminales) chinos y se cree que al menos tres de los backdoors personalizados que se desplegaron son utilizados por actores de espionaje del país asiático: Cooclient (Fireant), Quickheal (Needleminer), Rainyday (Firefly). Muchas empresas de seguridad, incluyendo Symantec consideran que estos tres grupos operan desde China. Además, la Comisión de Revisión Económica y de Seguridad de EEUU y China, un organismo asesor independiente establecido por el Congreso de los Estados Unidos, ha descrito a Firefly como un «APT que posiblemente está asociado con la unidad 78020 (PLA)» cuya operación está en el área de responsabilidad (AOR) del comando del teatro sur»
Aún no es claro la naturaleza del vínculo de los actores que participan en la campaña, pero las posibilidades, aunque no están limitadas, incluyen:
- Ataques de múltiples actores con intenciones independientes.
- Un solo actor que utiliza herramientas o personal compartido por otros grupos.
- Múltiples actores que colaboran en una sola campaña.
La motivación final de la campaña de intrusión sigue sin estar clara, pero es posible que la intención de los atacantes sea recopilar información de inteligencia sobre el sector TELECOM en dicho país, el espionaje es otra intención que no se descarta. Paralelamente a esto, los atacantes pueden haber estado intentando estructurar capacidades para romper las infraestructuras críticas de dicho país.
Somos eSoft LATAM
Somos y Tier 1 / VAD Expert Adavantage Partner de Broadcom y Partner Premier de Symantec gracias a nuestros logros y por ofrecer soporte técnico de alto valor agregado a organizaciones en toda la región. La información es uno de los activos clave para mantenernos a la vanguardia y así poder ofrecerle a su negocio, estrategias de ciberseguridad que responden a la evolución del panorama de amenazas. Agende una asesoría especializada y permita que nuestro equipo de consultores le asesore.