Los gobiernos de Reino Unido y EE. UU., Junto con aliados y socios, incluidos la Unión Europea (UE) y la OTAN, han confirmado hoy que un grupo de actores maliciosos respaldados por el estado chino conocidos como Hafnium fueron responsables de obtener acceso ilícito a múltiples redes objetivo a través de vulnerabilidades en -Versiones preliminares de Microsoft Exchange Server.
Los ataques de Exchange tuvieron lugar a principios de este año y comprometieron a miles de organizaciones en todo el mundo, al menos 30.000 solo en los EE. UU., Probablemente para permitir el espionaje a gran escala, incluida la obtención de datos personales y propiedad intelectual.
En el Reino Unido, el Centro Nacional de Seguridad Cibernética (NCSC) dijo que ahora ha apoyado a más de 70 víctimas, brindándoles asesoramiento y orientación personalizados para ayudarlos a navegar las secuelas de los ataques.
“El ataque a los servidores de Microsoft Exchange es otro ejemplo serio de un acto malicioso por parte de actores respaldados por el estado chino en el ciberespacio”, dijo el director de operaciones de NCSC, Paul Chichester. “Este tipo de comportamiento es completamente inaceptable y, junto con nuestros socios, no dudaremos en señalarlo cuando lo veamos.
“Es vital que todas las organizaciones continúen aplicando actualizaciones de seguridad con prontitud y reporten cualquier posible compromiso al NCSC a través de nuestro sitio web”.
El secretario de Relaciones Exteriores, Dominic Raab, agregó: “El ataque cibernético a Microsoft Exchange Server por parte de grupos respaldados por el estado chino fue un patrón de comportamiento imprudente pero familiar. El gobierno chino debe poner fin a este sabotaje cibernético sistemático y puede esperar que se le pida cuentas si no lo hace “.
El Reino Unido también acusó hoy al Ministerio de Seguridad del Estado chino (MSS) de estar detrás de la actividad de los grupos denominados APT40 y APT31, que entre ellos se han dirigido a contratistas de defensa marítima y naval y organismos gubernamentales.
Raab acusó a Beijing de haber ignorado repetidamente los llamamientos para poner fin a esta campaña de actividad y dijo que, en cambio, estaba permitiendo que estos grupos aumentaran su actividad y actuaran imprudentemente cuando los atrapaban.
Hizo un llamado al gobierno chino para que asuma la responsabilidad de sus acciones y respete las instituciones democráticas, los datos personales y los intereses comerciales “de aquellos con quienes busca asociarse”.
El Reino Unido también pide a China que reafirme los compromisos anteriores contraídos con el Reino Unido en 2015 y, como parte del G20, no lleve a cabo ni apoye el robo de propiedad intelectual cibernético.
Al mismo tiempo, el Departamento de Justicia de EE. UU. (DoJ) ha acusado hoy a cuatro miembros de APT40 de ejecutar una campaña de ciberataques dirigida a empresas privadas, universidades y organismos gubernamentales de todo el mundo entre 2011 y 2018.
El Departamento de Justicia alegó que los acusados y conspiradores del Departamento de Seguridad del Estado de Hainan (HSSD) intentaron ocultar su robo estableciendo una empresa fachada, Hainan Xiandun, que opera en la ciudad de Haikou en Hainan, una provincia insular situada frente a la costa sur de China. a unas 300 millas al este de Hong Kong.
La acusación formal nombra a Ding Xiaoyang, Cheng Qingmin y Zhu Yunmin como oficiales del HSSD responsables de coordinar, facilitar y administrar un equipo de intrusión compuesto por especialistas técnicos y lingüistas en Hainan Xiandun. También nombra a Wu Shurong como supervisor que, como parte de sus deberes laborales en la empresa fachada, accedió a sistemas informáticos operados por gobiernos, empresas y universidades extranjeras, y supervisó a otros en la nómina.
También se les acusa de trabajar con personal y profesores en universidades de Hainan y en otras partes de China para promover los objetivos de la campaña. Las universidades supuestamente proporcionaron asistencia material al MSS para identificar y reclutar personas para penetrar y robar en las redes objetivo.
Se sabe que la campaña ha tenido víctimas en Austria, Camboya, Canadá, Alemania, Indonesia, Malasia, Noruega, Arabia Saudita, Sudáfrica, Suiza, el Reino Unido y los EE. UU., Con verticales específicas que incluyen aviación, defensa, educación, gobierno, atención médica. , biofarmacéutico y marítimo.
Parte de la propiedad intelectual robada incluía tecnología relacionada con vehículos sumergibles y autónomos, fórmulas químicas, mantenimiento de aviones comerciales, tecnología de secuenciación genética, investigación sobre enfermedades como el ébola, el VIH / SIDA y el MERS, e información que podría haber respaldado los esfuerzos de China para asegurar contratos para su empresas de propiedad estatal en los países seleccionados.
“Estos cargos criminales ponen de relieve una vez más que China sigue utilizando ataques cibernéticos para robar lo que hacen otros países, en flagrante desprecio de sus compromisos bilaterales y multilaterales”, dijo la fiscal general adjunta de Estados Unidos, Lisa Monaco.
“La amplitud y duración de las campañas de piratería de China, incluidos estos esfuerzos … nos recuerdan que ningún país o industria es seguro. La condena internacional de hoy muestra que el mundo quiere reglas justas, donde los países inviertan en innovación, no en robo ”.
APT40 supuestamente accedió a sus redes de víctimas a través de campañas fraudulentas de spear-phishing, respaldadas por perfiles en línea ficticios y dominios similares creados para imitar los sitios web de empresas y socios legítimos. En algunos casos, el equipo también utilizó credenciales secuestradas para dirigirse a otras personas de la misma organización.
La campaña también utilizó múltiples cepas de malware para expandir su alcance y mantener su presencia dentro de sus redes de víctimas, incluyendo BADFLICK o GreenCrash, PHOTO o Derusbi, MURKYTOP o mt.exe y HOMEFRY o dp.dll. Se accedía con mayor frecuencia al malware y se administraba la infraestructura de intrusión, a través de servicios anonimizados como Tor, mientras que los datos robados se almacenaban en GitHub, ocultos mediante técnicas esteganográficas. Los conspiradores también explotaron las claves de la API de Dropbox para que pareciera que su exfiltración de datos era una información privilegiada que usaba legítimamente Dropbox.
Se pueden encontrar más detalles del trabajo del grupo, incluidos detalles técnicos, indicadores de compromiso y consejos de mitigación, en un aviso de CISA recientemente publicado.