Sophos X-Ops lleva más de cinco años investigando a varios grupos con base en China que atacan los firewalls de Sophos con botnets, nuevos exploits y malware a medida.
Sophos, reconocida empresa líder en soluciones de ciberseguridad, ha publicado el informe “Pacific Rim”, donde detalla las acciones defensivas y ofensivas que llevó a cabo en los últimos cinco años contra múltiples actores vinculados a estados-nación chinos. Estos adversarios dirigieron sus ataques a dispositivos perimetrales, como firewalls Sophos, empleando campañas con exploits inéditos y malware personalizado que integraban herramientas para espionaje, sabotaje y vigilancia. Además, usaron tácticas, técnicas y procedimientos (TTP) que coincidían con los utilizados por grupos chinos conocidos como Volt Typhoon, APT31 y APT41. Los objetivos incluyeron infraestructuras críticas y entidades gubernamentales de diferentes tamaños, principalmente en el sur y sudeste de Asia, como centrales nucleares, aeropuertos, hospitales militares, organismos de seguridad del Estado y ministerios.
Durante esta operación, denominada Pacific Rim, Sophos X-Ops, la división de inteligencia de amenazas y ciberseguridad de Sophos, se centró en contrarrestar las acciones de estos adversarios, ajustando continuamente sus estrategias de defensa y contraataque. Aunque Sophos logró contener los ataques iniciales, los atacantes aumentaron su agresividad y recurrieron a operadores más sofisticados, lo que llevó a Sophos a identificar un complejo ecosistema de adversarios interconectados.
Desde 2020, Sophos comenzó a divulgar información sobre campañas específicas relacionadas con la operación, como Cloud Snooper y Asnarök. Ahora, con este nuevo informe, busca destacar la persistencia de estos actores vinculados a estados-nación chinos y su enfoque en comprometer dispositivos perimetrales sin actualizaciones o en fin de vida útil (EOL). Frecuentemente, los atacantes aprovecharon vulnerabilidades zero-day desarrolladas para estos dispositivos. Sophos insta a todas las organizaciones a implementar parches de seguridad de manera inmediata y a reemplazar dispositivos obsoletos por modelos actuales. Además, subraya que sus productos reciben actualizaciones regulares en respuesta a las amenazas emergentes para proteger a sus clientes, quienes, en el caso de Sophos Firewall, cuentan con actualizaciones automáticas habilitadas por defecto.
Aspectos destacados de la operación
- En diciembre de 2018, un incidente curioso marcó un punto de partida importante. Un ordenador conectado a una pantalla de proyección comenzó a escanear la red en las oficinas de Cyberoam en India, una empresa adquirida por Sophos en 2014. Al investigarlo, se descubrió un payload malicioso que monitoreaba el tráfico especializado de Internet de manera silenciosa. Este incluía una sofisticada puerta trasera y un rootkit avanzado conocido como «Cloud Snooper».
- Varios reportes, en abril de 2020, instituciones señalaron una interfaz de usuario que dirigía a un dominio relacionado con Sophos. Esto llevó a una colaboración con fuerzas de seguridad europeas, quienes lograron localizar y desmantelar el servidor utilizado por los atacantes para distribuir cargas maliciosas en una operación denominada Asnarök. Sophos no solo neutralizó esta amenaza y la vinculó a China, sino que además tomó control del canal de mando y control (C2), evitando así múltiples oleadas de ataques botnet planeados.
- Evolución tras Asnarök: En respuesta a las amenazas crecientes, Sophos fortaleció sus operaciones de inteligencia con un programa enfocado en rastrear y detener actores de amenazas. Este programa utilizó herramientas como inteligencia de código abierto, análisis web, monitoreo de telemetría y estrategias avanzadas de implantes de kernel para anticiparse a los movimientos de los atacantes, quienes intentaban explotar dispositivos protegidos por Sophos.
- Incremento de ataques: Con el tiempo, los adversarios perfeccionaron sus tácticas, implementando malware más difícil de detectar. A pesar de esto, las capacidades avanzadas de rastreo de Sophos permitieron prevenir ataques significativos. Entre los logros destaca la obtención de un bootkit UEFI y varios exploits personalizados antes de que pudieran ser desplegados masivamente.
- Rastreo a vínculos en China: Más adelante, algunos ataques fueron rastreados hasta un grupo cibercriminal vinculado al Instituto de Investigación Double Helix, de la región de Chengdu en China, lo que ofreció mayor claridad sobre los actores detrás de estas amenazas.
- Marzo de 2022: En el marco de un programa de recompensas, un investigador de seguridad reportó una vulnerabilidad zero-day, identificada como CVE-2022-1040. Tras investigar, se confirmó que esta brecha ya estaba siendo explotada en varias operaciones. Sophos logró evitar que afectara a sus clientes, aunque el momento del aviso generó sospechas sobre una posible conexión entre el informante y los atacantes, siendo esta la segunda ocasión en que ocurría algo similar.
Estas situaciones reflejan la complejidad de las amenazas actuales y el esfuerzo constante por mantenerse un paso adelante de los adversarios.
En un entorno donde los adversarios no solo persisten, sino que evolucionan, las empresas deben priorizar la actualización de sus sistemas, implementar soluciones de seguridad robustas y adoptar una postura preventiva para adelantarse a las amenazas emergentes.
“Toda Seguridad es poca, toma conciencia.”