El actor de amenazas persistentes avanzadas (APT, por sus siglas en inglés) respaldado por China, rastreado como APT40, ha estado ocupado evolucionando su manual y recientemente se le ha observado apuntando activamente a nuevas víctimas mediante la explotación de vulnerabilidades en dispositivos de red de oficinas pequeñas y domésticas (SoHo) como punto de partida para el comando y actividad de control (C2) durante sus ataques
Esto es según una alerta internacional emitida por las agencias cibernéticas aliadas de Five Eyes de Australia, Canadá, Nueva Zelanda, el Reino Unido y los EE. UU., así como por organismos asociados de Alemania, Japón y Corea del Sur.
Según el Centro Australiano de Seguridad Cibernética (ACSC), que fue la agencia líder en la alerta, APT40 ha apuntado repetidamente a redes tanto en Australia como en todo el mundo con este método.
En dos estudios de caso publicados por las autoridades australianas, APT40 utilizó dispositivos SoHO comprometidos como infraestructura operativa y redireccionadores de “último salto” durante sus ataques, aunque uno de los efectos de hacerlo ha sido hacer que su actividad sea algo más fácil de caracterizar y rastrear.
Las agencias describieron estos dispositivos de red SoHo como objetivos mucho más fáciles para actores maliciosos que sus equivalentes de grandes empresas.
“Muchos de estos dispositivos SoHO están al final de su vida útil o no tienen parches y ofrecen un objetivo fácil para la explotación del día N”, dijeron los australianos. “Una vez comprometidos, los dispositivos SoHO ofrecen un punto de partida para que los ataques se mezclen con el tráfico legítimo y desafíen a los defensores de la red.
“Esta técnica también es utilizada regularmente por otros actores patrocinados por el Estado de la República Popular China en todo el mundo, y las agencias autoras consideran que se trata de una amenaza compartida.
“APT40 ocasionalmente utiliza infraestructura adquirida o arrendada como infraestructura C2 de cara a las víctimas en sus operaciones; sin embargo, este oficio parece estar en relativo declive”, agregaron.
La ACSC compartió detalles de un ciberataque APT40 al que respondió en agosto de 2022, durante el cual una IP maliciosa que se cree que está afiliada al grupo interactuó con la red de la organización objetivo durante un período de dos meses utilizando un dispositivo que probablemente pertenecía a una pequeña usuario empresarial o doméstico. Este ataque se solucionó antes de que APT40 pudiera causar demasiado daño.
Mohammed Kazem, investigador senior de inteligencia de amenazas de WithSecure, dijo: “No hay indicios de que el ritmo o el impacto de las operaciones cibernéticas patrocinadas por el gobierno o el estado chino hayan disminuido… en cambio, han seguido perfeccionando y refinando su oficio. Se han mostrado dispuestos a retirar métodos y herramientas que ya no funcionan en favor de otros nuevos, pero si bien sus TTP estándar han demostrado ser eficaces, han seguido utilizándolos felizmente.
“Este aviso también destaca una tendencia compartida y creciente entre los actores de la República Popular China en los últimos años de apuntar a los dispositivos de borde mediante la explotación y aprovechar los dispositivos comprometidos como parte de su infraestructura y actividad de red. Creemos que estos actores emplean conscientemente estas técnicas para llevar a cabo operaciones más sigilosas que son más difíciles de rastrear y atribuir, pero que también desafían los mecanismos de seguridad y la supervisión convencionales”, dijo Kazem.
Amenaza notable
El grupo APT40, que también se conoce en varias matrices de proveedores como Kryptonite Panda, Gingham Typhoon, Leviathan y Bronze Mohawk, es un grupo muy activo que probablemente tenga su sede en la ciudad de Haikou en la provincia de Hainan, una isla frente a la costa sur de China. , a unas 300 millas al oeste de Hong Kong. Recibe su tarea del Departamento de Seguridad del Estado de Hainan del Ministerio de Seguridad del Estado (MSS) de China.
Probablemente fue una de las APT involucradas en una serie de ciberataques de 2021 orquestados a través de compromisos en Microsoft Exchange Server. En julio de ese año, cuatro miembros del grupo fueron acusados por las autoridades estadounidenses de ataques contra los sectores de aviación, defensa, educación, gobierno, salud, biofarmacéutico y marítimo.
En esta campaña, APT40 robó propiedad intelectual sobre vehículos sumergibles y autónomos, fórmulas químicas, servicio de aviones comerciales, tecnología de secuenciación genética, investigaciones sobre enfermedades como el Ébola, el VIH/SIDA y el MERS, e información para apoyar los intentos de obtener contratos para las empresas estatales de China. .
APT40 se considera una amenaza particularmente notable gracias a sus capacidades avanzadas: es capaz de transformar y explotar rápidamente pruebas de conceptos (PoC) de nuevas vulnerabilidades y convertirlas en víctimas, y los miembros de su equipo realizan reconocimientos regulares contra redes de interés. en busca de oportunidades para utilizarlos.
Ha sido un usuario entusiasta de algunas de las vulnerabilidades más extendidas y notables de los últimos años, incluidas Log4j; de hecho, continúa teniendo éxito al explotar algunos errores que se remontan a 2017.
El grupo parece preferir apuntar a la infraestructura pública en lugar de técnicas que requieren la interacción del usuario (como el phishing por correo electrónico) y otorga gran valor a la obtención de credenciales válidas para usar en sus ataques.
Mitigar una intrusión APT40
Las mitigaciones prioritarias para los defensores incluyen mantener registros actualizados, administración rápida de parches e implementar segmentación de red.
Los equipos de seguridad también deben tomar medidas para deshabilitar servicios de red, puertos o firewalls no utilizados o innecesarios, implementar firewalls de aplicaciones web (WAF), aplicar políticas de privilegios mínimos para limitar el acceso, aplicar la autenticación multifactor (MFA) en todos los servicios de acceso remoto accesibles a Internet, reemplazar los kit de por vida y revise las aplicaciones personalizadas para detectar funcionalidades potencialmente explotables.