Llegamos a ustedes gracias a:



Alertas de Seguridad

El grupo de hackers chinos APT41

Ataca a empresas de todo el mundo

[25/03/2020] Investigadores de seguridad advierten que un grupo de ciberespionaje chino ha estado atacando a organizaciones de todo el mundo, explotando las vulnerabilidades de aplicaciones y dispositivos comerciales populares de empresas como Cisco, Citrix y Zoho. A la luz de la actual crisis de COVID-19, el riesgo para las empresas es aún mayor, ya que el personal de TI trabaja a distancia y la prisa por acomodar el trabajo desde casa podría dejar las aplicaciones empresariales expuestas a Internet sin la protección adecuada.

"Entre el 20 de enero y el 11 de marzo, FireEye observó el intento de APT41 de explotar las vulnerabilidades de Citrix NetScaler/ADC, los enrutadores Cisco y Zoho ManageEngine Desktop Central en más de 75 clientes de FireEye", señalaron los investigadores de la empresa de seguridad FireEye en un informe publicado hoy. También describieron los ataques como "las campañas más amplias de un actor chino de ciberespionaje que hemos observado en los últimos años".

¿Quién es el APT41?

El APT41 es un sofisticado actor de ciberespionaje, probablemente patrocinado por el estado, que ha estado operando desde al menos el 2012 y cuyas acciones parecen estar alineadas con los planes quinquenales de desarrollo económico de China. También conocido en la industria de la seguridad como Barium o Winnti, el grupo ha participado en la recopilación de inteligencia estratégica de organizaciones de muchos sectores, pero también en ataques de motivación financiera que tenían como objetivo predominante la industria de los juegos en línea. Algunos expertos creen que está operando como un contratista y tiene múltiples equipos con diferentes objetivos.

En el pasado, el APT41 se ha especializado en ataques a la cadena de suministro de programas informáticos. El grupo se introdujo en los entornos de desarrollo de software de varios proveedores de software, e inyectó código malicioso en herramientas firmadas digitalmente que luego se distribuyeron a los clientes a través de los canales normales de distribución de software. Un ejemplo es el ataque del 2017 contra CCleaner que resultó en la distribución de copias envenenadas de la popular utilidad a 2,2 millones de usuarios. También se cree que el grupo es responsable de ShadowPad, un ataque a la cadena de suministro de software que dio lugar a la distribución de versiones malignas de una herramienta de gestión de servidores de empresas comerciales llamada Xmanager.

"APT41 aprovecha un arsenal de más de 46 familias de malware y herramientas diferentes para cumplir sus misiones, incluyendo utilidades disponibles públicamente, malware compartido con otras operaciones de espionaje chino y herramientas exclusivas del grupo", anotó Fireeye en un informe sobre el grupo el año pasado. "APT41 identifica y compromete rápidamente los sistemas intermediarios que proporcionan acceso a partes de la red de una organización que de otro modo estarían segmentadas. En un caso, el grupo comprometió cientos de sistemas a través de múltiples segmentos de red y varias regiones geográficas en tan sólo dos semanas".

Los investigadores llegaron a la conclusión de que el grupo está bien dotado de recursos, es muy hábil, creativo y ágil, y se adapta rápidamente a cualquier intento de sus destinatarios de remediar las infecciones. Los compromisos de la APT41 son típicamente generalizados y altamente persistentes, con el grupo listo para luchar por mantener su posición dentro de las redes. Las empresas podrían tener aún más dificultades para responder a tales infracciones ahora que los miembros de sus equipos de seguridad y de TI están trabajando desde casa o están enfermos como consecuencia de la pandemia de COVID-19.

Las recientes campañas del APT41

Los ataques observados por FireEye este año han tenido como objetivo empresas de muchas industrias, incluyendo banca/finanzas, defensa, gobierno, sanidad, alta tecnología, manufactura, petróleo y gas, farmacéutica, telecomunicaciones y transporte en todo el mundo. Entre los países afectados se encuentran EE.UU., Reino Unido, Australia, Canadá, Dinamarca, Finlandia, Francia, India, Italia, Japón, Malasia, México, Filipinas, Polonia, Qatar, Arabia Saudí, Singapur, Suecia, Suiza y los Emiratos Árabes Unidos.

A diferencia de campañas anteriores en las que el grupo utilizó correos electrónicos de suplantación de identidad o programas malignos de troyanos, sus ataques de este año se dirigieron principalmente contra sistemas y dispositivos vulnerables que estaban expuestos directamente a Internet.

Uno de los exploits utilizados se dirigió a una vulnerabilidad en Citrix Application Delivery Controller (ADC), antes conocido como NetScaler ADC; Citrix Gateway, antes conocido como NetScaler Gateway; y el dispositivo Citrix SD-WAN WANOP. La vulnerabilidad, rastreada como CVE-2019-19781, fue revelada en diciembre y el APT41 ya la había añadido a su arsenal a finales de enero. Los ataques resultaron en la ejecución de un comando shell que descargó una puerta trasera sobre FTP.

"Una cosa interesante a destacar es que todas las peticiones observadas solo se realizaron contra dispositivos Citrix, lo que sugiere que el APT41 estaba operando con una lista ya conocida de dispositivos identificados accesibles en Internet", señalaron los investigadores de FireEye.

A finales de febrero, FireEye también observó un ataque de APT41 que comprometió un enrutador Cisco RV320 en una organización de telecomunicaciones, resultando en la instalación de un binario malicioso en el dispositivo. Aunque los investigadores no saben exactamente qué exploit se utilizó, sospechan que fue uno de acceso público que se aprovecha de una falla en la inyección de comandos (CVE-2019-1652) y de un problema de divulgación de información (CVE-2019-1653) que Cisco parcheó el año pasado en abril.

Finalmente, a partir del 8 de marzo, FireEye observó ataques APT41 dirigidos a ManageEngine Desktop Central, una solución de gestión unificada de puntos finales (UEM). ManageEngine es una división de Zoho. Los ataques comenzaron solo tres días después de que un investigador de seguridad publicara el código de prueba de concepto de una vulnerabilidad de ejecución remota de código que afectaba a las versiones de Desktop Central anteriores a la 10.0.474. Zoho publicó una corrección a corto plazo para esta falla (CVE-2020-10189) en enero en la versión 10.0.474 y una corrección más completa en la versión 10.0.479 el 7 de marzo.

Los exploits de Desktop Central fueron usados para instalar una carga útil que descargaba una versión de prueba del cargador Cobalt Strike Beacon. Cobalt Strike es una herramienta comercial de pruebas de penetración y su componente Beacon es una carga útil de puerta trasera utilizada para la exfiltración de datos y el despliegue de carga útil adicional. De hecho, el APT41 utilizó el Cobalt Strike Beacon para luego descargar Meterpreter, el componente de carga útil de ataque del marco de pruebas de penetración de código abierto Metasploit.

"Es notable que solo hemos visto estos intentos de explotación aprovechar el malware disponible públicamente como Cobalt Strike y Meterpreter", dijeron los investigadores de FireEye. "Aunque estas puertas traseras están llenas de características, en incidentes anteriores APT41 ha esperado a desplegar malware más avanzado hasta que han comprendido completamente dónde estaban y han llevado a cabo algún reconocimiento inicial. En el 2020, el APT41 sigue siendo una de las amenazas más prolíficas que FireEye rastrea actualmente. Esta nueva actividad de este grupo muestra lo ingeniosos y lo rápido que pueden aprovechar las vulnerabilidades recién descubiertas en su beneficio".

Mitigación para los nuevos ataques del APT41

Las organizaciones que utilizan el software o los dispositivos de destino deben desplegar las mitigaciones o parches disponibles lo antes posible. Si las actuales restricciones de movimiento físico impuestas por las autoridades como resultado de COVID-19 dificultan la aplicación de parches, las empresas deberían, como mínimo, poner un firewall a esos dispositivos fuera de Internet.

Los sistemas vulnerables también deberían ser aislados del resto de la red o retirados de la red si se pueden desplegar alternativas, porque ya podrían estar comprometidos. Las empresas pueden utilizar los indicadores de compromiso y otra información proporcionada en el informe FireEye para escanear sus redes.

Los recientes ataques APT41 ponen de manifiesto los riesgos asociados a la exposición de aplicaciones empresariales sensibles directamente a Internet, algo que las empresas podrían estar sometidas a una mayor presión dada la actual situación de trabajo desde casa. Sin embargo, la gestión remota siempre debe realizarse a través de conexiones seguras con VPN o a través de pasarelas de acceso de confianza cero.