Google reveló el miércoles que trabajó con socios de la industria para interrumpir la infraestructura de un presunto grupo de ciberespionaje relacionado con China rastreado como UNC2814 que violó al menos 53 organizaciones en 42 países.

«Este prolífico y esquivo actor tiene una larga historia de ataques contra gobiernos internacionales y organizaciones de telecomunicaciones globales en África, Asia y las Américas», dijeron Google Threat Intelligence Group (GTIG) y Mandiant dijo en un informe publicado hoy.

También se sospecha que la UNC2814 está relacionada con infecciones adicionales en más de 20 países. Se ha observado que el gigante tecnológico, que ha estado rastreando al actor de amenazas desde 2017, utiliza llamadas a la API para comunicarse con aplicaciones de software como servicio (SaaS) como infraestructura de comando y control (C2). La idea, añadió, es disfrazar su tráfico malicioso como benigno.

Un elemento central de las operaciones del grupo de hackers es una novedosa puerta trasera denominada GRIDTIDE que utiliza la API de Google Sheets como canal de comunicación para disfrazar el tráfico de C2 y facilitar la transferencia de datos sin procesar y comandos de shell. Se trata de un malware basado en C que permite subir y descargar archivos y ejecutar comandos de shell arbitrarios.

La forma exacta en que la UNC2814 obtiene el acceso inicial sigue siendo un tema de investigación, pero se dice que el grupo tiene un historial de explotación y compromiso de servidores web y sistemas periféricos.

adsense

Los ataques organizados por el actor de la amenaza han aprovechado una cuenta de servicio para moverse lateralmente dentro del entorno a través de SSH. También se utilizan los binarios de tipo «vivir fuera de la tierra» (LotL) para realizar reconocimientos, aumentar los privilegios y configurar la persistencia por la puerta trasera.

«Para lograr la persistencia, el autor de la amenaza creó un servicio para el malware en /etc/systemd/system/xapt.service y, una vez habilitado, se generó una nueva instancia del malware desde /usr/sbin/xapt», explicó Google.

Otro aspecto destacable es el despliegue de SoftEther VPN Bridge para establecer una conexión cifrada saliente a una dirección IP externa. Vale la pena mencionar aquí que el abuso de SoftEther VPN ha sido vinculado a múltiple Grupos de hackers chinos .

Hay pruebas que indican que GRIDTIDE se utiliza en puntos finales que contienen información de identificación personal (PII), un aspecto que concuerda con la actividad de ciberespionaje centrada en la vigilancia de personas de interés. Sin embargo, Google señaló que no había observado ninguna filtración de datos durante el transcurso de la campaña.

Ciclo de vida de ejecución de GRIDTIDE

El mecanismo C2 de GRIDTIDE implica un mecanismo de sondeo basado en celdas, en el que se asignan funciones específicas a ciertas celdas de la hoja de cálculo para permitir la comunicación bidireccional -

  • A1, para buscar comandos de atacantes y sobrescribirlos con una respuesta de estado (por ejemplo, S-C-R o Server-Command-Success)
  • A2-An, para transferir datos, como archivos y resultados de comandos
  • V1, para almacenar los datos del sistema desde el punto final de la víctima

Como parte de la acción, Google dijo que había cancelado todos los proyectos de Google Cloud controlados por el atacante, había desactivado toda la infraestructura conocida de la UNC2814 y había cortado el acceso a las cuentas controladas por el atacante y a las llamadas a la API de Google Sheets que el actor utilizaba con fines de mando y control (C2).

El gigante tecnológico describió la UNC2814 como una de las «campañas de mayor alcance e impacto» de los últimos años, y añadió que ha emitido notificaciones formales a las víctimas a cada uno de los objetivos y que apoya activamente a las organizaciones con compromisos verificados derivados de esta amenaza.

enlaces

El último descubrimiento es uno de los muchos esfuerzos simultáneos de los grupos de estados-nación chinos para integrarse en redes de acceso a largo plazo. Esta novedad también pone de manifiesto que la periferia de la red sigue siendo la zona más afectada por los intentos de explotación en toda Internet, y que los actores de amenazas suelen aprovechar las vulnerabilidades y los errores de configuración de estos dispositivos para utilizarlos como punto de entrada habitual a las redes empresariales.

Estos aparatos tienen convertirse en objetivos atractivos en los últimos años, ya que, por lo general, carecen de detección de malware para terminales, pero proporcionan acceso directo a la red o puntos de enlace a los servicios internos si se ven comprometidos.

«El alcance global de la actividad de la UNC2814, demostrado por operaciones confirmadas o sospechosas en más de 70 países, subraya la grave amenaza a la que se enfrentan los sectores gubernamental y de telecomunicaciones, y la capacidad de estas intrusiones para evitar ser detectadas por los defensores», dijo Google.

«Las intrusiones prolíficas de esta escala son generalmente el resultado de años de esfuerzos concentrados y no se restablecerán fácilmente. Esperamos que la UNC2814 trabaje arduamente para restablecer su presencia global».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.