La cibercampaña respaldada por el régimen chino conocida como Flax Typhoon está utilizando software confiable contra sus víctimas, evitando la necesidad de malware, según un informe del 14 de octubre de la empresa de ciberseguridad ReliaQuest.
El informe destaca que cualquier sistema con acceso al backend debe ser tratado de alto riesgo y una máxima prioridad, ya que las capacidades en evolución permitan a los piratas informáticos mantener el acceso incluso después de que el sistema sea reiniciado.
“Este ataque realmente se destaca por su gran ingenio al aprovecharse de un punto ciego en seguridad común: la confianza inherente depositada en los componentes de software legítimos”, se lee en el informe.
La campaña conocida como Flax Typhoon (también rastreada como Ethereal Panda), fue publicada por Microsoft en agosto de 2023, en un informe que reveló una campaña de ciberespionaje contra organizaciones taiwanesas.
El grupo también fue responsable de una botnet que corrompió más de 200,000 dispositivos, como pequeños enrutadores domésticos y DVR, para usarlos en actividades cibernéticas maliciosas.
El informe de ReliaQuest presennta un estudio de caso sobre la intrusión del Flax Typhoon, que duró un año, en el servicio de software de mapeo ArcGIS. Este software visualiza y analiza datos espaciales para usos como recuperación ante desastres, la planificación urbana y la gestión de emergencias.
Esto significaba que la vulnerabilidad del sistema podría haber interrumpido operaciones críticas, expuesto vulnerabilidades de infraestructura o proporcionado una puerta de entrada para un ataque cibernético a redes de infraestructura crítica conectadas.
Flax Typhoon convirtió el propio software del sistema en una puerta trasera persistente y fue “un ataque tan único” que obligó al proveedor a reescribir sus propias pautas de seguridad.
“Los atacantes no necesitan sus propias herramientas cuando pueden corromper las tuyas”, reitera el informe.
Según los investigadores, los piratas informáticos modificaron la extensión del objeto del servidor Java del software de mapeo en un shell web, lo que permite el acceso remoto a un servidor.
“Al restringir el acceso con una clave codificada para un control exclusivo y al incrustarla en las copias de seguridad del sistema, lograron una persistencia profunda y a largo plazo que podría sobrevivir a una recuperación completa del sistema”, explica el informe.
Esta codificación rígida también impidió que otros hackers o administradores de sistemas manipularan su acceso. Mientras los equipos de seguridad buscaban malware, los procesos de confianza explotados por Flax Typhoon pasaban desapercibidos.
“Este punto de apoyo silencioso era todo lo que necesitaban para realizar actividades manuales, lo que permitía la ejecución de comandos maliciosos, movimientos laterales y la recolección de credenciales en múltiples hosts”, se lee en el informe.
El acceso se extendió al sistema de respaldo y recuperación del software, convirtiendo un “plan de recuperación en un método garantizado de infección” y una “red de seguridad en una responsabilidad”.
La técnica no se limita de ninguna manera a ArcGIS, dijeron los investigadores, sino que es más bien una “llamada de atención” y una “advertencia sobre una peligrosa brecha en los supuestos de seguridad”.
Los informes recientes sobre campañas cibernéticas respaldadas por el estado chino revelan avances en técnicas que enfatizan el sigilo, permitiendo a los piratas informáticos acceso prolongado a los sistemas sin ser detectados.
Cada vez más, estos piratas informáticos dedican tiempo a escanear cuidadosamente las redes, a encontrar formas de adquirir privilegios de administrador en los sistemas y a llevar a cabo actividades maliciosas que imitan la actividad legítima del usuario.
En el caso de ArcGIS, los piratas informáticos atacaron dos estaciones de trabajo pertenecientes a personal de TI, que luego les otorgaron acceso a datos de autenticación críticos y credenciales de mayor nivel.
ReliaQuest advirtió que esta clase de ataques requiere un “cambio crítico en el pensamiento de seguridad”.
En lugar de preguntar si un archivo es malicioso, los equipos necesitan saber cómo deberían comportarse normalmente sus aplicaciones y software para detectar comportamientos anormales.
El acceso prolongado, el movimiento lateral dentro de los sistemas, la recolección de credenciales, el despliegue de web shells y el uso de VPNs para crear la infraestructura de los hackers fueron indicadores que apuntaron a la campaña Flax Typhoon, según los investigadores.
“Activo desde al menos 2021, Flax Typhoon es conocido por sus largos períodos de inactividad, que utiliza para planificar y prepararse antes de llevar a cabo ataques precisos y de alto impacto”, se lee en el informe.
“El grupo se centra constantemente en la infraestructura crítica, y es muy probable que su resurgimiento no sea un evento aleatorio, lo que hace que esta atribución sea significativa para los defensores”.
ArcGIS tuvo que reconstruir toda su pila de servidores para evitar la reinfección, según el informe.
Los investigadores estimaron que hay entre un 55 y un 70 por ciento de probabilidad de que Flax Typhoon ya este realizando algo similar en su próxima víctima.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí
