Sophos, líder mundial en soluciones de seguridad innovadoras para combatir ciberataques, lanzó el informe “Pacific Rim”, que detalla su operación de defensa y contraataque a lo largo de los últimos cinco años frente a varios adversarios de Estados-nación con sede en China que apuntaron a dispositivos perimetrales, incluidos firewalls de Sophos.
Los atacantes ejecutaron campañas con exploits novedosos y malware personalizado para realizar espionaje, sabotaje y vigilancia cibernética, utilizando tácticas, herramientas y procedimientos similares a grupos de Estado chino bien conocidos como Volt Typhoon, APT31 y APT41. Los objetivos incluyeron infraestructura crítica y entidades gubernamentales en Asia del Sur y Sudeste, entre ellos proveedores de energía nuclear, un aeropuerto de capital nacional, un hospital militar, sistemas de seguridad estatal y ministerios centrales de gobierno.
A lo largo del informe «Pacific Rim», Sophos X-Ops, la unidad de inteligencia en ciberseguridad y amenazas de Sophos, trabajó para neutralizar los movimientos de los cibercriminales, mejorando continuamente las defensas y contraofensivas. Tras responder a los ataques iniciales, Sophos observó una escalada en los esfuerzos de los atacantes, quienes desplegaron operadores más experimentados. Esto permitió a Sophos descubrir un vasto ecosistema de adversarios.
La empresa de ciberseguridad recomienda recomienda a las organizaciones tomar acciones para reforzar sus posturas de seguridad, tales como minimizar los servicios y dispositivos con acceso a internet, priorizar parches, habilitar hotfixes automáticos, colaborar con socios público-privados y crear planes para dispositivos EOL.
Esta actividad hostil no está dirigida contra una sola empresa. Sophos ha observado otros objetivos de Internet bajo asedio y han vinculado a muchos de los atacantes implicados en ataques a otros proveedores de seguridad de redes, incluidos los que proporcionan dispositivos para uso doméstico y de pequeñas oficinas. Entender por qué esta campaña de ataque es una prioridad a largo plazo para el adversario puede ayudar a los objetivos potenciales a comprender cómo están cambiando las viejas reglas de la evaluación de riesgos corporativos y lo que esto significa para el futuro
Desde 2020, Sophos ha informado sobre campañas específicas, como Cloud Snooper y Asnarök, y hoy ofrece un análisis general de la investigación para alertar sobre la persistencia de los adversarios chinos y su enfoque en dispositivos perimetrales, sin soporte y con vulnerabilidades de fin de vida útil (EOL), a menudo mediante exploits de día cero creados para tales dispositivos. Sophos exhorta a las organizaciones a aplicar parches para vulnerabilidades en dispositivos con acceso a internet y migrar los equipos antiguos sin soporte. Los clientes de Sophos Firewall están protegidos a través de hotfixes rápidos que se aplican de forma predeterminada.
«La realidad es que los dispositivos perimetrales se han convertido en objetivos altamente atractivos para grupos de Estado-nación chinos como Volt Typhoon, que buscan construir cajas de retransmisión operativas (ORBs) para ocultar y facilitar sus actividades, ya sea atacando directamente una organización para espiar o aprovechando puntos débiles para ataques posteriores, afectando incluso a quienes no son objetivos directos. Los dispositivos de red empresariales son ideales: potentes, siempre conectados y con conexión constante,” comentó Ross McKerchar, CISO de Sophos.
Puntos destacados del informe
- El 4 de diciembre de 2018, una computadora de bajo privilegio conectada a una pantalla comenzó a escanear la red de Sophos en la sede india de Cyberoam, compañía adquirida por Sophos en 2014. Sophos halló un payload que incluía un backdoor novedoso y un rootkit complejo llamado “Cloud Snooper.”
- En abril de 2020, tras reportarse una interfaz que apuntaba a un dominio relacionado con Sophos, Sophos colaboró con la policía europea para confiscar el servidor utilizado por los atacantes en lo que denominó Asnarök, atribuido a China. Esto permitió neutralizar una ola de ataques de botnets planificados.
- Después de Asnarök, Sophos avanzó en sus operaciones de inteligencia mediante la creación de un programa adicional de rastreo de actores de amenazas centrado en identificar e interrumpir a los ciberatacantes que buscan explotar los dispositivos de Sophos desplegados en entornos de clientes; el programa se construyó utilizando una combinación de inteligencia de código abierto, análisis web, monitorización de telemetría e implantes de kernel dirigidos desplegados en los dispositivos de investigación de los atacantes.
- Sophos rastreó algunos ataques hasta un adversario vinculado a Sichuan Silence Information Technology y el Instituto de Investigación Double Helix en Chengdu, China.
- En marzo de 2022, un investigador anónimo informó a Sophos de una vulnerabilidad de ejecución remota de código (CVE-2022-1040) a través del programa de recompensas de la compañía. Tras la investigación, Sophos determinó que la persona que reportó el exploit podía tener vínculos con los atacantes.