En los últimos años se observa un creciente interés de los grupos de ciberatacantes chinos por comprometer los dispositivos periféricos
El pasado miércoles, Microsoft emitió una advertencia en la que afirmaba que piratas informáticos patrocinados por el Estado chino habían puesto en peligro infraestructuras críticas de diversos sectores, entre ellos organizaciones gubernamentales y de comunicaciones.
Un ataque que continúa el reciente suceso descubierto e informado por Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, en el que el grupo APT Camaro Dragon, patrocinado por el Estado chino, dirigía diferentes ataques a entidades europeas de asuntos exteriores.
Según el análisis exhaustivo realizado por nuestros investigadores, estos ataques implantaban un firmware malicioso adaptado para los routers TP-Link, incluyendo una puerta trasera personalizada llamada «Horse Shell» que permite a los atacantes mantener un acceso persistente, construir una infraestructura anónima y habilitar el movimiento lateral entre las redes comprometidas.
Ahora, Estados Unidos, Australia, Canadá, Nueva Zelanda y Reino Unido, países integrantes la red de inteligencia Five Eyes, han emitido un comunicado conjunto «para poner de relieve un conjunto de actividades de interés descubierto recientemente y asociado a un ciberagente patrocinado por el Estado de la República Popular China (RPC), también conocido como Volt Typhoon«.
Tal y como detalla Microsoft en su blog oficial, Volt Typhoon está dirigiendo todo su tráfico de red a sus objetivos a través de dispositivos de redes SOHO comprometidos, ampliando la efectividad hasta routers y otros productos de fabricantes globales como ASUS, Cisco, D-Link, NETGEAR y Zyxel. A través de esta vulnerabilidad, los ciberdelincuentes pueden exponer las interfaces de gestión HTTP o SSH.
Los dispositivos de red en el punto de mira… otra vez
Los ataques originados por grupos de ciberespionaje con base en China no son nuevos para Check Point Research ni la comunidad de ciberseguridad. Los grupos APT chinos como Volt Typhoon cuentan ya con su propio historial de campañas. Su principal motivación suele ser la recopilación de inteligencia estratégica, la interrupción selectiva, o simplemente la afirmación de un punto de apoyo en las redes para futuras operaciones.
El reciente aviso señala una variedad de técnicas empleadas por estos actores de amenazas, pero de particular interés es su enfoque en «vivir de la tierra» y la explotación de dispositivos de red como routers.
Sin embargo, Estados Unidos no es el único objetivo del espionaje. En un aviso anterior de la CISA, en 2021, se enumeraban técnicas comunes utilizadas por las APT patrocinadas por China. Entre ellas, mencionan que los atacantes utilizan routers vulnerables como parte de su infraestructura operativa para eludir la detección y albergar actividades de mando y control.
También en 2021, el CERT-FR informó de una gran campaña llevada a cabo por el actor de amenazas APT31, afiliado a China. Descubrieron que el actor utilizaba una red en malla de routers comprometidos orquestada mediante un malware al que apodaron «Pakdoor».
Por último, en el pasado mes de marzo de 2023, Check Point Research desveló un foco de ataques de espionaje de origen chino contra entidades gubernamentales del sudeste asiático, en particular naciones con reivindicaciones territoriales similares o proyectos de infraestructuras estratégicas como Vietnam, Tailandia e Indonesia.
¿Por qué los dispositivos edge son el foco de los ciberataques?
En los últimos años se observa un creciente interés de los grupos de ciberatacantes chinos por comprometer los dispositivos periféricos, con el objetivo de construir infraestructuras C&C resistentes y más anónimas para afianzarse dentro de las redes de sus objetivos.
Los dispositivos de red, como los routers, generalmente considerados como el perímetro del entorno digital de las empresas, sirven como primer punto de contacto para la comunicación basada en Internet. Son responsables de enrutar y gestionar el tráfico de red, tanto legítimo como potencialmente malicioso. Al comprometer estos dispositivos, los atacantes pueden mezclar su tráfico con las comunicaciones legítimas, lo que dificulta considerablemente su detección. Estos dispositivos, cuando se reconfiguran o comprometen, también permiten a los atacantes tunelizar las comunicaciones a través de la red, anonimizando eficazmente su tráfico y eludiendo los métodos de detección tradicionales.
Esta estrategia también complementa el enfoque de «vivir de la tierra» de Volt Typhoon. En lugar de utilizar malware, que puede ser detectado por muchos sistemas de seguridad modernos, este grupo aprovecha las herramientas de administración de red integradas, como wmic, ntdsutil, netsh y PowerShell, reduciendo así su huella medioambiental. Además, este método permite que sus actividades maliciosas pasen inadvertidas entre otras tareas administrativas benignas, lo que dificulta a los encargados de ciberseguridad la identificación de los atacantes entre los usuarios legítimos.
Estas técnicas también permiten al grupo APT mantener una persistencia dentro de las redes infectadas. El compromiso de los dispositivos de red de pequeñas oficinas/oficinas domésticas (SOHO) puede utilizarse como infraestructura intermedia para ocultar su verdadero origen y mantener el control sobre una red incluso si se descubren y eliminan otros elementos de su operación, haciendo creer a las víctimas que la amenaza ha sido suprimida.
“El descubrimiento de la naturaleza agnóstica de este firmware malicioso indica que una amplia gama de dispositivos y vendedores pueden estar en peligro” explica Manuel Rodríguez, Gerente de Ingeniería de Seguridad para el Norte de América Latina de Check Point Software. “El objetivo final de nuestra investigación es contribuir a mejorar la postura de seguridad de empresas y particulares por igual. Mientras tanto, continuamos recomendando mantener cualquier dispositivo de red actualizado y protegido, y permanecer alerta ante cualquier actividad sospechosa dentro de nuestra red”.