Informe Pacific Rimde Sophos: nuevos ataques cibernéticos masivos desde China amenazan la seguridad global
Escrito por Jose de Jesus Prieto on 15/11/2024
Tras responder exitosamente a los ataques iniciales, los delincuentes intensificaron sus esfuerzos
y recurrieron a operadores más experimentados. Descubrimos un vasto ecosistema de
adversarios.– Sophos
Noviembre 13 de 2024 – Sophos, líder mundial en soluciones de seguridad innovadoras
para combatir ciberataques, lanzó el informe “ Pacific Rim ”, que detalla su operación de
defensa y contraataque a lo largo de los últimos cinco años frente a varios adversarios de
Estados-nación con sede en China que apuntaron a dispositivos perimetrales, incluidos
firewalls de Sophos.
Los atacantes ejecutaron campañas con exploits novedosos y malware personalizado
para realizar espionaje, sabotaje y vigilancia cibernética, utilizando tácticas,
herramientas y procedimientos similares a grupos de Estado chino bien conocidos
como Volt Typhoon, APT31 y APT41. Los objetivos incluyeron infraestructura crítica y
entidades gubernamentales en Asia del Sur y Sudeste, entre ellos proveedores de
energía nuclear, un aeropuerto de capital nacional, un hospital militar, sistemas de
seguridad estatal y ministerios centrales de gobierno.
A lo largo del informe "Pacific Rim", Sophos X-Ops, la unidad de inteligencia en
ciberseguridad y amenazas de Sophos, trabajó para neutralizar los movimientos de los
cibercriminales, mejorando continuamente las defensas y contraofensivas. Tras responder
a los ataques iniciales, Sophos observó una escalada en los esfuerzos de los
atacantes, quienes desplegaron operadores más experimentados. Esto permitió a
Sophos descubrir un vasto ecosistema de adversarios.
La empresa de ciberseguridad recomienda recomienda a las organizaciones tomar
acciones para reforzar sus posturas de seguridad, tales como minimizar los servicios y
dispositivos con acceso a internet, priorizar parches, habilitar hotfixes automáticos,
colaborar con socios público-privados y crear planes para dispositivos EOL.
Esta actividad hostil no está dirigida contra una sola empresa. Sophos ha observado otros
objetivos de Internet bajo asedio y han vinculado a muchos de los atacantes implicados
en ataques a otros proveedores de seguridad de redes, incluidos los que
proporcionan dispositivos para uso doméstico y de pequeñas oficinas. Entender por
qué esta campaña de ataque es una prioridad a largo plazo para el adversario puede
ayudar a los objetivos potenciales a comprender cómo están cambiando las viejas reglas
de la evaluación de riesgos corporativos y lo que esto significa para el futuro
Desde 2020, Sophos ha informado sobre campañas específicas, como Cloud Snooper y
Asnarök, y hoy ofrece un análisis general de la investigación para alertar sobre la
persistencia de los adversarios chinos y su enfoque en dispositivos perimetrales, sin
soporte y con vulnerabilidades de fin de vida útil (EOL), a menudo mediante exploits de
día cero creados para tales dispositivos. Sophos exhorta a las organizaciones a aplicar
parches para vulnerabilidades en dispositivos con acceso a internet y migrar los equipos
antiguos sin soporte. Los clientes de Sophos Firewall están protegidos a través de
hotfixes rápidos que se aplican de forma predeterminada.
"La realidad es que los dispositivos perimetrales se han convertido en objetivos
altamente atractivos para grupos de Estado-nación chinos como Volt Typhoon, que
buscan construir cajas de retransmisión operativas (ORBs) para ocultar y facilitar
sus actividades, ya sea atacando directamente una organización para espiar o
aprovechando puntos débiles para ataques posteriores, afectando incluso a
quienes no son objetivos directos. Los dispositivos de red empresariales son
ideales: potentes, siempre conectados y con conexión constante,” comentó Ross
McKerchar, CISO de Sophos.
Puntos destacados del informe
El 4 de diciembre de 2018, una computadora de bajo privilegio conectada a una
pantalla comenzó a escanear la red de Sophos en la sede india de Cyberoam,
compañía adquirida por Sophos en 2014. Sophos halló un payload que incluía un
backdoor novedoso y un rootkit complejo llamado “Cloud Snooper.”
En abril de 2020, tras reportarse una interfaz que apuntaba a un dominio
relacionado con Sophos, Sophos colaboró con la policía europea para confiscar el
servidor utilizado por los atacantes en lo que denominó Asnarök, atribuido a China.
Esto permitió neutralizar una ola de ataques de botnets planificados.
Después de Asnarök, Sophos avanzó en sus operaciones de inteligencia mediante
la creación de un programa adicional de rastreo de actores de amenazas centrado
en identificar e interrumpir a los ciberatacantes que buscan explotar los
dispositivos de Sophos desplegados en entornos de clientes; el programa se
construyó utilizando una combinación de inteligencia de código abierto, análisis
web, monitorización de telemetría e implantes de kernel dirigidos desplegados en
los dispositivos de investigación de los atacantes.
Sophos rastreó algunos ataques hasta un adversario vinculado a Sichuan Silence
Information Technology y el Instituto de Investigación Double Helix en Chengdu,
China.
En marzo de 2022, un investigador anónimo informó a Sophos de una
vulnerabilidad de ejecución remota de código (CVE-2022-1040) a través del
programa de recompensas de la compañía. Tras la investigación, Sophos
determinó que la persona que reportó el exploit podía tener vínculos con los
atacantes.
Declaraciones sobre el informe Pacific Rim
"A través del JCDC, la CISA obtiene y comparte información crucial sobre los desafíos de
ciberseguridad, incluyendo las tácticas avanzadas de actores cibernéticos de la República
Popular China (RPC). Los socios como Sophos y sus informes, como el informe Pacific
Rim, ofrecen a la comunidad global más insights sobre el comportamiento de la RPC,"
comentó Jeff Greene, director ejecutivo adjunto de ciberseguridad en CISA.
Recursos adicionales sobre el informe Pacific Rim de Sophos
Obtén más información sobre el informe Pacific Rim de Sophos en:
www.sophos.com/pacificrim
Registrarte en el webcast de Preguntas y Respuestas de Sophos sobre Pacific Rim que
se realizará el jueves 7 de noviembre en: Sophos Webcast
Acerca de Sophos
Sophos es un líder global e innovador en soluciones avanzadas de seguridad para combatir
ciberataques, incluyendo servicios de Detección y Respuesta Administrada (MDR) y servicios de
respuesta ante incidentes, así como una amplia gama de tecnologías de seguridad para endpoints,
redes, correos electrónicos y la nube. Como uno de los mayores proveedores de ciberseguridad
pura, Sophos protege a más de 600,000 organizaciones y más de 100 millones de usuarios en
todo el mundo contra adversarios activos, ransomware, phishing, malware y más. Las soluciones y
servicios de Sophos están conectados a través de la consola de gestión Sophos Central y se
basan en Sophos X-Ops, la unidad de inteligencia de amenazas interdominio de la compañía
www.sophos.com .