Un actor de amenazas cibernéticas con nexos en China se había infiltrado con éxito en la red de una empresa asiática de telecomunicaciones durante más de cuatro años, según un informe publicado por la empresa de ciberseguridad Sygnia el lunes.
Sygnia descubrió que la entidad maliciosa, conocida como "Weaver Ant", operaba en ciertos días y tenía la intención de mantener el acceso continuo y recopilar información confidencial mientras atravesaba la red de la empresa no identificada.
Este informe sigue a evaluaciones anteriores de las empresas de defensa cibernética CrowdStrike el 27 de febrero y Mandiant el 12 de marzo, que señalaron un aumento en los grupos vinculados a China que aprovechan la inteligencia artificial y los enrutadores con software obsoleto para obtener acceso ilícito a las redes y la información.
Weaver Ant cargó scripts maliciosos, conocidos como web shells, en los servidores de destino, lo que les permitió ser controlados de forma remota a través de interfaces de línea de comandos o sistemas basados en texto en lugar de gráficos con cursores y botones, como los de las computadoras personales, según el informe de Sygnia.
Dijo que la entidad vinculada con China luego usó estos shells web para crear canales de comunicación discretos o "túneles" entre ella y las máquinas de la compañía de telecomunicaciones no identificada.
Sygnia dijo que se dio cuenta de las intrusiones cuando recibió alertas de "actividades sospechosas" de un perfil que fue desactivado en un intento anterior por detener las operaciones de un actor de amenazas.
Este perfil se encontraba en un servidor que no fue "identificado previamente como comprometido" y fue reactivado por una cuenta de servicio.
Una cuenta de servicio es un perfil automatizado y no humano con privilegios elevados que realiza tareas en segundo plano, como la ejecución de aplicaciones, scripts o servicios en un servidor o red.
La investigación posterior de Sygnia reveló una variante del script de shell web China Chopper que Mandiant, en una explicación de agosto de 2013, denominó "un pequeño y hábil shell web que no recibe suficiente exposición y crédito por su sigilo".
"La carga útil basada en texto es tan simple y corta que un atacante podría escribirla a mano directamente en el servidor de destino, sin necesidad de transferir archivos", dijo la subsidiaria de Google en la explicación.
Según Sygnia, China Chopper, la variante utilizada principalmente por Weaver Ant y desplegada principalmente en servidores externos, apareció en un servidor interno, "que estuvo comprometido durante varios años".
El segundo shell web detectado por Sygnia "no tenía referencias disponibles públicamente" y "permite la ejecución en memoria de módulos maliciosos" y, por lo tanto, se denominó "INMemory".
A través de estos descubrimientos, Sygnia dedujo que dos actores de amenazas estaban trabajando en conjunto y que, al deshabilitar la primera cuenta, la compañía de telecomunicaciones obstaculizaba las operaciones del segundo actor.
La compañía de respuesta a incidentes cibernéticos señaló que descubrió "docenas de shells web similares" y que la operación priorizó el "acceso persistente" mientras dependía exclusivamente de estos scripts maliciosos.
Los actores de amenazas no solo explotaron los shells web para acceder a los nodos que infectaron, sino que también los utilizaron para expandir sus operaciones lateralmente, a otros aspectos de la red a través de lo que Sygnia describe como un "intrincado proceso de tunelización".
El informe señala además que los esfuerzos de Sygnia se vieron desafiados por las técnicas de evasión de defensa del actor de amenazas, que comprendieron palabras estratégicamente colocadas como "contraseña", "clave" y "paso".
Estas palabras clave activaron una función de redacción en el firewall de la red, lo que hizo que los datos desviados fueran "difíciles de monitorear o analizar".
Otro desafío para los esfuerzos de control de daños de Sygnia fue el límite de caracteres en la solución de firewall de la red afectada, lo que les impidió establecer detalles específicos de los datos robados de la red.
El informe de Sygnia señala que Weaver Ant "se centró en industrias específicas y ubicaciones geográficas que se alinean con la estrategia cibernética de China", que sus operaciones estaban guiadas por "objetivos bien definidos", que se basó principalmente en "variantes de shell web de China Chopper" y que "llevó a cabo actividades maliciosas principalmente con la zona horaria GMT +8, operando en días hábiles regulares mientras evitaba los fines de semana y días festivos".
Además, señala que el actor de amenazas "se dirigió a los enrutadores Zyxel CPE comprometidos" preferidos por los proveedores de telecomunicaciones del sudeste asiático y fabricados en Taiwán, mientras que también utilizó puertas traseras previamente asociadas con los actores chinos de amenazas persistentes avanzadas (APT) Cybereason y TrendMicro.
"La Weaver Ant demostró una persistencia excepcional, manteniendo la actividad dentro de la red comprometida durante más de cuatro años, a pesar de los múltiples intentos de erradicación", se lee en el informe.
Sygnia dijo en el informe que opera bajo la "suposición de que Weaver Ant es un APT altamente capaz y persistente", y que "dado su enfoque en el espionaje, se consideró muy probable que intentaran reanudar las operaciones". Como Sygnia esperaba, Ant Weaver lo intentó de nuevo.
"Los esfuerzos de monitoreo resultaron efectivos: se detectó a Weaver Ant intentando recuperar el acceso a la red de la víctima", se lee en el informe. "Sygnia estuvo siguiendo de cerca e investigando su renovada actividad".
También se publicará un informe de seguimiento sobre el "modus operandi y las herramientas 'mejoradas' del grupo de piratas informáticos", señaló el informe.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo clic aquí
