Operació Sophos Pacific Rim: defensa i contraatac cap a APTs d'origen Xinès

Sophos X-Ops fa més de cinc anys que investiga diversos grups amb base a la Xina que ataquen els tallafocs de Sophos amb botnets, nous exploits i malware a mida.

Sophos, reconeguda empresa líder en solucions de ciberseguretat, ha publicat l'informe “Pacific Rim”, on detalla les accions defensives i ofensives que va dur a terme en els darrers cinc anys contra múltiples actors vinculats a estats nació xinesos. Aquests adversaris van dirigir els seus atacs a dispositius perimetrals, com firewalls Sophos, emprant campanyes amb exploits inèdits i malware personalitzat que integraven eines per a espionatge, sabotatge i vigilància. A més, van fer servir tàctiques, tècniques i procediments (TTP) que coincidien amb els utilitzats per grups xinesos coneguts com Volt Typhoon, APT31 i APT41. Els objectius van incloure infraestructures crítiques i entitats governamentals de diferents mides, principalment al sud i sud-est d'Àsia, com ara centrals nuclears, aeroports, hospitals militars, organismes de seguretat de l'Estat i ministeris.

Durant aquesta operació, anomenada Pacific Rim, Sophos X-Ops, la divisió d'intel·ligència d'amenaces i ciberseguretat de Sophos, es va centrar a contrarestar les accions d'aquests adversaris, ajustant contínuament les seves estratègies de defensa i contraatac. Encara que Sophos va aconseguir contenir els atacs inicials, els atacants van augmentar la seva agressivitat i van recórrer a operadors més sofisticats, cosa que va portar Sophos a identificar un complex ecosistema d'adversaris interconnectats.

Des del 2020, Sophos va començar a divulgar informació sobre campanyes específiques relacionades amb l'operació, com ara Cloud Snooper i Asnarök. actualitzacions o en fi de vida útil (EOL). Freqüentment, els atacants van aprofitar vulnerabilitats zero-day desenvolupades per a aquests dispositius. Sophos insta totes les organitzacions a implementar pegats de seguretat de manera immediata ia reemplaçar dispositius obsolets per models actuals. A més, subratlla que els seus productes reben actualitzacions regulars en resposta a les amenaces emergents per protegir els seus clients, que, en el cas de Sophos Firewall, compten amb actualitzacions automàtiques habilitades per defecte.

Aspectes destacats de l'operació

  • El desembre del 2018, un incident curiós va marcar un punt de partida important. Un ordinador connectat a una pantalla de projecció va començar a escanejar la xarxa a les oficines de Cyberoam a l'Índia, una empresa adquirida per Sophos el 2014. En investigar-ho, es va descobrir un payload maliciós que monitoritzava el trànsit especialitzat d'Internet de manera silenciosa. Aquest incloïa una sofisticada porta del darrere i un rootkit avançat conegut com a Cloud Snooper.
  • Diversos reportis, a l'abril del 2020, institucions van assenyalar una interfície d'usuari que dirigia a un domini relacionat amb Sophos. Això va portar a una col·laboració amb forces de seguretat europees, els qui van aconseguir localitzar i desmantellar el servidor utilitzat pels atacants per distribuir càrregues malicioses en una operació anomenada Asnarök. Sophos no només va neutralitzar aquesta amenaça i la va vincular a la Xina, sinó que a més va prendre control del canal de comandament i control (C2), evitant així múltiples onades d'atacs botnet planejats.
  • Evolució després d'Asnarök: En resposta a les amenaces creixents, Sophos va enfortir les seves operacions d'intel·ligència amb un programa enfocat a rastrejar i aturar actors d'amenaces. Aquest programa va utilitzar eines com intel·ligència de codi obert, anàlisi web, monitorització de telemetria i estratègies avançades d'implants de nucli per anticipar-se als moviments dels atacants, que intentaven explotar dispositius protegits per Sophos.
  • Increment d'atacs: Amb el temps, els adversaris van perfeccionar les tàctiques, implementant codi maliciós més difícil de detectar. Tot i això, les capacitats avançades de rastreig de Sophos van permetre prevenir atacs significatius. Entre els èxits destaca l'obtenció d'un bootkit UEFI i diversos exploits personalitzats abans que poguessin ser desplegats massivament.
  • Rastreig a vincles a la Xina: Més endavant, alguns atacs van ser rastrejats fins a un grup cibercriminal vinculat a l'Institut de Recerca Double Helix, de la regió de Chengdu a la Xina, cosa que va oferir més claredat sobre els actors darrere d'aquestes amenaces.
  • Març de 2022: En el marc d'un programa de recompenses, un investigador de seguretat en va reportar una vulnerabilitat zero-day, identificada com a CVE-2022-1040. Després d'investigar, es va confirmar que aquesta escletxa ja estava sent explotada en diverses operacions. Sophos va aconseguir evitar que afectés els seus clients, encara que el moment de l'avís va generar sospites sobre una possible connexió entre l'informant i els atacants, sent aquesta la segona ocasió en què passava una cosa semblant.

Aquestes situacions reflecteixen la complexitat de les amenaces actuals i lesforç constant per mantenir-se un pas endavant dels adversaris.

En un entorn on els adversaris no només persisteixen, sinó que evolucionen, les empreses han de prioritzar l'actualització dels sistemes, implementar solucions de seguretat robustes i adoptar una postura preventiva per avançar-se a les amenaces emergents.

“Tota Seguretat és poca, pren consciència.”

Comparteix aquest contingut:

Deixa un comentari

LIVE WEBINAR | 1/2/2024

Com protegir el teu Active Directory d'atacs Ransomware amb Tenable

Servei d'avisos

Rep les alertes més importants