Sophos, líder mundial en soluciones de seguridad innovadoras que derrotan a los ciberataques, publica “Pacific Rim”, un informe que detalla la operación defensiva y contraofensiva llevada a cabo por Sophos durante los últimos cinco años contra múltiples adversarios de estados-nación interconectados con sede en China y que tenían como objetivo dispositivos perimetrales, incluidos los firewalls de Sophos. Los atacantes utilizaron una serie de campañas con nuevos exploits y malware personalizado para integrar herramientas de vigilancia, sabotaje y ciberespionaje, así como tácticas, herramientas y procedimientos (TTP) que se solapaban con conocidos grupos de estados-nación chinos, como Volt Typhoon, APT31 y APT41. Los adversarios atacaron infraestructuras críticas y objetivos gubernamentales, tanto grandes como pequeños, ubicados principalmente en el sur y sudeste de Asia, incluidos proveedores de energía nuclear, el aeropuerto de una capital nacional, un hospital militar, el aparato de seguridad de Estado y ministerios del gobierno central.
A lo largo de la operación Pacific Rim, Sophos X-Ops, la unidad de ciberseguridad e inteligencia de amenazas de Sophos, ha trabajado para neutralizar los movimientos de los adversarios, evolucionando continuamente las defensas y contraofensivas. Después de que Sophos respondiera con éxito a los ataques iniciales, los adversarios intensificaron sus esfuerzos y trajeron a operadores más experimentados. Posteriormente, Sophos descubrió un gran ecosistema de adversarios.
Aunque Sophos comenzó a publicar detalles de la operación desde el año 2020 sobre campañas asociadas, incluyendo Cloud Snooper y Asnarök, la compañía comparte ahora el análisis general de la investigación para concienciar sobre la persistencia de los adversarios de los estados-nación chinos y su hiperenfoque para comprometer dispositivos perimetrales, sin parches y al final de su vida útil (EOL), a menudo a través de exploits zero-day que están siendo creados para esos dispositivos. Sophos también anima a todas las instituciones a aplicar urgentemente parches para las vulnerabilidades descubiertas en cualquiera de sus dispositivos conectados a Internet y a migrar cualquier dispositivo antiguo no compatible a los modelos actuales. Sophos actualiza regularmente todos sus productos compatibles en función de las nuevas amenazas e indicadores de peligro (IoC) para proteger a sus clientes. Los clientes de Sophos Firewall están protegidos mediante actualizaciones rápidas que ahora se activan por defecto.
“La realidad es que los dispositivos periféricos se han convertido en objetivos muy atractivos para los grupos estatales chinos como Volt Typhoon y otros, que buscan construir redes ORB (Operational Relay Boxes) para ocultar y respaldar su actividad. Esto incluye atacar directamente a una institución con fines de espionaje, o aprovechar indirectamente cualquier punto débil para ataques posteriores, convirtiéndose en daños colaterales. Incluso las instituciones que no son objetivo están siendo atacadas. Los dispositivos de red diseñados para las empresas son objetivos naturales para estos fines: son potentes, están siempre encendidos y tienen conectividad constante”, afirma Ross McKerchar, CISO de Sophos. “Cuando un grupo que pretendía construir una red global de ORBs atacó algunos de nuestros dispositivos, respondimos aplicando las mismas técnicas de detección y respuesta que utilizamos para defender nuestros endpoints y dispositivos de red corporativos. Esto nos permitió detener múltiples operaciones y aprovechar un valioso flujo de inteligencia sobre amenazas que aplicamos para proteger a nuestros clientes tanto de futuros ataques generalizados como de operaciones muy selectivas”.
Aspectos destacados del informe:
- El 4 de diciembre de 2018, un ordenador con pocos privilegios conectado a una pantalla de proyección empezó a escanear la red de Sophos (aparentemente por su cuenta) en la sede de Cyberoam en India, una empresa que Sophos adquirió en 2014. Sophos encontró en el ordenador un payload (o carga maliciosa) que monitorizaba silenciosamente el tráfico especializado entrante de Internet y que contenía un novedoso tipo de puerta trasera y un complejo rootkit: “Cloud Snooper”.
- En abril de 2020, después de que varias instituciones informaran de una interfaz de usuario que apuntaba a un dominio con “Sophos” en su nombre, Sophos colaboró con las fuerzas de seguridad europeas, que localizaron y confiscaron el servidor que los adversarios utilizaron para desplegar los payloads maliciosos, en lo que Sophos denominó posteriormente Asnarök. Sophos neutralizó Asnarök, pudiendo atribuirlo a China, tomó el control del canal de mando y control (C2) del malware, permitiendo a Sophos neutralizar unas oleadas planificadas de ataques de botnet.
- Después de Asnarök, Sophos avanzó en sus operaciones de inteligencia creando un programa adicional de rastreo de actores de amenazas centrado en identificar e interrumpir a los adversarios. El fin de estos ciberdelincuentes era explotar los dispositivos de Sophos desplegados en entornos de clientes. El programa se construyó utilizando una combinación de inteligencia de código abierto, análisis web, monitorización de telemetría e implantes de kernel dirigidos, desplegados en los dispositivos de investigación de los atacantes.
- A continuación, los atacantes aumentaron su nivel de insistencia, mejorando sus tácticas y desplegando malware cada vez más sigiloso. Sin embargo, gracias a su programa de rastreo de actores de amenazas y a sus capacidades mejoradas de recopilación de telemetría, Sophos pudo adelantarse a varios ataques y obtener una copia de un bootkit UEFI y de exploits personalizados antes de que pudieran desplegarse ampliamente.
- Unos meses más tarde, Sophos rastreó algunos de los ataques hasta un ciberadversario, que ha demostrado tener vínculos con China y con el Instituto de Investigación Double Helix de Sichuan Silence Information Technology, en la región de Chengdu del país.
- En marzo de 2022, un investigador de seguridad anónimo informó a Sophos de una vulnerabilidad de ejecución remota de código zero-day, denominada CVE-2022-1040, como parte del programa de recompensas por fallos de la empresa. Una investigación posterior reveló que esta CVE ya estaba siendo explotada en múltiples operaciones, y que Sophos pudo evitar que afectara a los clientes. Después de un análisis más profundo, Sophos determinó que la persona que informó del exploit podría haber tenido una conexión con los adversarios. Era la segunda vez que Sophos recibía un “chivatazo” sospechosamente oportuno sobre una vulnerabilidad antes de que se utilizara de forma maliciosa.
“Los recientes avisos de la CISA han dejado claro que los grupos de estados-nación chinos se han convertido en una amenaza permanente para las infraestructuras críticas de los países”, explica McKerchar. “Lo que tendemos a olvidar es que las pequeñas y medianas empresas, las que forman la mayor parte de la cadena de suministro de infraestructuras críticas, son objetivos, ya que a menudo son los eslabones débiles de dicha cadena. Por desgracia, estas empresas suelen disponer de menos recursos para defenderse de amenazas tan sofisticadas. Para complicar aún más las cosas, estos adversarios tienden a afianzarse y a atrincherarse, lo que dificulta su desalojo. El modus operandi de los adversarios con base en China es resistir durante mucho tiempo y realizar complejos ataques encubiertos. No pararán hasta que sean desmantelados”.
Opiniones del sector sobre el informe Pacific Rim de Sophos
“A través del JCDC, CISA obtiene y comparte información crucial sobre los retos de ciberseguridad a los que nos enfrentamos, incluidas las tácticas y técnicas avanzadas utilizadas por los ciberactores patrocinados por el Estado de la República Popular China (RPC). La experiencia de partners como Sophos e informes como “Pacific Rim”, proporcionan a la cibercomunidad mundial más información sobre los comportamientos cambiantes de la RPC. Trabajando codo con codo, estamos ayudando a los equipos de seguridad a comprender la escala y la explotación generalizada de los dispositivos Edge, así como a implementar estrategias de mitigación”, explica Jeff Greene, subdirector ejecutivo de ciberseguridad de CISA. “CISA continúa destacando cómo tipos de vulnerabilidades, incluyendo inyecciones SQL y vulnerabilidades de seguridad de memoria, continúan siendo explotadas en masa. Instamos a los fabricantes de software a que revisen nuestros recursos de Secure by Design y, como ha hecho Sophos en este caso, pongan en práctica sus criterios. Animamos a otros a asumir el compromiso y a revisar nuestras alertas sobre cómo eliminar este tipo de deficiencias comunes”.
“Muchos proveedores de ciberseguridad llevan a cabo operaciones de investigación de adversarios, pero pocos son capaces de hacerlo con éxito contra un conjunto tan desafiante de adversarios nacionales durante un periodo de tiempo tan largo”, comenta Eric Parizo, analista principal del grupo de investigación de ciberseguridad de Omdia. “Sophos ha aprovechado al máximo una oportunidad única, y debe ser elogiado por ofrecer una investigación y unos resultados tácticos que ayudarán a defender mejor a sus clientes ahora y en el futuro”.
“En NCSC-NL, una de nuestras tareas es compartir información y conectar organizaciones. Facilitar la comunicación y la cooperación entre organizaciones nacionales e internacionales es de gran importancia para mejorar la ciberresiliencia. Nos alegramos de haber podido contribuir a esta investigación con Sophos”, declaró Hielke Bontius, jefe de operaciones de NCSC-NL.
Consejos para los equipos de seguridad
Las organizaciones deben tener en cuenta que todos los dispositivos conectados a Internet son objetivos principales para los adversarios de los estados-nación, especialmente los dispositivos en infraestructuras críticas. Sophos anima a las instituciones a tomar las siguientes medidas para reforzar su seguridad:
- ?Reducir al mínimo los servicios y dispositivos conectados a Internet siempre que sea posible.
- Priorizar la aplicación de parches con urgencia para los dispositivos conectados a Internet y su posterior supervisión.
- Habilitar actualizaciones para dispositivos edge y aplicarlas automáticamente.
- Colaborar con las fuerzas de seguridad, los partners público-privados y el gobierno para compartir y actuar sobre los IoC relevantes.
- Crear un plan para abordar el modo en el que la organización se ocupa de los dispositivos EOL.
“Tenemos que trabajar en colaboración con los sectores público y privado, las fuerzas de seguridad y los gobiernos, así como con el sector de la seguridad, para compartir lo que sabemos sobre estas operaciones de los adversarios. Dirigir los ataques contra los mismos dispositivos edge que se despliegan para proteger las redes es una táctica audaz e inteligente. Las instituciones, los partners de canal y los proveedores de servicios gestionados deben entender que estos dispositivos son los principales objetivos de los atacantes y deben asegurarse de que están debidamente reforzados y de que los parches críticos se aplican tan pronto estén disponibles. De hecho, sabemos que los atacantes están buscando activamente dispositivos EOL. Los proveedores también desempeñan un papel importante. Deben ayudar a sus clientes ofreciéndoles soluciones fiables y probadas en funcionamiento, facilitando la actualización desde plataformas EOL, rediseñando o eliminando sistemáticamente el código heredado que pueda albergar vulnerabilidades persistentes, mejorando continuamente los diseños de seguridad por defecto para liberar al cliente de esa responsabilidad y supervisando la integridad de los dispositivos desplegados”, concluye McKerchar.
