Los equipos de piratería que trabajan para el gobierno chino tienen la intención de excavar en los confines de la infraestructura sensible, gran parte de la cual pertenece a los EE. UU., y establecer presencias permanentes allí si es posible. En los últimos dos años, han obtenido algunas victorias que podrían amenazar seriamente la seguridad nacional.
Si eso no estaba claro antes, tres informes publicados la semana pasada lo aclaran con creces. En uno publicado por la firma de seguridad Kaspersky, los investigadores detallaron un conjunto de herramientas de espionaje avanzadas utilizadas durante los últimos dos años por un grupo para establecer un «canal permanente para la exfiltración de datos» dentro de la infraestructura industrial. Un segundo informe publicado el domingo por The New York Times dijo que un grupo diferente que trabajaba para el gobierno chino había ocultado malware que podría causar interrupciones en las profundidades de la infraestructura crítica utilizada por las bases militares estadounidenses en todo el mundo. Esos informes se produjeron nueve días después de que Microsoft revelara una violación de las cuentas de correo electrónico pertenecientes a 25 de sus clientes de la nube, incluidos los Departamentos de Estado y Comercio.
Las operaciones parecen provenir de departamentos separados dentro del gobierno chino y apuntar a diferentes partes de la infraestructura estadounidense y europea. El primer grupo, rastreado bajo el nombre de Zirconium, busca robar datos de los objetivos que infecta. Un grupo diferente, conocido como Volt Typhoon, según el NYT, tiene como objetivo obtener la capacidad a largo plazo para causar interrupciones dentro de las bases estadounidenses, posiblemente para usarlas en caso de un conflicto armado. En ambos casos, los grupos se esfuerzan por crear cabezas de playa permanentes donde puedan instalarse subrepticiamente.
APT busca una relación a largo plazo con un dispositivo con espacio de aire
Un informe publicado por Kaspersky hace dos semanas (parte 1) y el lunes (parte 2) detalló 15 implantes que brindan a Zirconium una gama completa de capacidades avanzadas. Las capacidades de los implantes van desde la etapa uno, acceso remoto persistente a máquinas pirateadas, hasta una segunda etapa que recopila datos de esas máquinas, y cualquier dispositivo con espacio de aire al que se conecten, hasta una tercera etapa utilizada para cargar datos robados a Zirconium controlado. servidores de mando.
Zirconium es un grupo de hackers que trabaja para la República Popular China. La unidad se ha enfocado tradicionalmente en una amplia gama de entidades industriales y de información, incluidas aquellas en organizaciones gubernamentales, financieras, aeroespaciales y de defensa y negocios en las industrias de tecnología, construcción, ingeniería, telecomunicaciones, medios y seguros. Zirconium, que también se rastrea con los nombres APt31 y Judgment Panda, es un ejemplo de APT (amenaza persistente avanzada), una unidad que piratea para, en nombre de o como parte de un estado-nación.
La última vez que cubrí Zirconium en 2021, el gobierno de Francia advirtió que el grupo había comprometido una gran cantidad de enrutadores domésticos y de oficina para usarlos como cajas de retransmisión que proporcionan anonimato para realizar reconocimientos y ataques sigilosos. La Agencia Nacional para la Seguridad de los Sistemas de Información de Francia (ANSSI) advirtió a las empresas y organizaciones nacionales en ese momento que la “gran campaña de intrusión [was] impactando a numerosas entidades francesas”.
El informe de Kaspersky muestra que casi al mismo tiempo que el ataque al enrutador a gran escala, Zirconium estaba ocupado con otra empresa importante, una que involucraba el uso de los 15 implantes para descubrir información confidencial fortificada en las profundidades de las redes específicas. El malware generalmente se instala en lo que se conoce como secuestros de DLL. Estos tipos de ataques encuentran formas de inyectar código malicioso en los archivos DLL que hacen que funcionen varios procesos de Windows. El malware cubrió sus huellas usando el algoritmo RC4 para encriptar datos hasta justo antes de ser inyectado.
Un componente de gusano del malware, dijo Kaspersky, puede infectar unidades extraíbles que, cuando se conectan a un dispositivo con espacio de aire, ubican datos confidenciales almacenados allí y los copian. Cuando se vuelve a conectar a una máquina conectada a Internet, el dispositivo de disco infectado lo escribe allí.
“A lo largo de la investigación, los investigadores de Kaspersky observaron los esfuerzos deliberados de los actores de amenazas para evadir la detección y el análisis”, escribió Kaspersky. “Lograron esto ocultando la carga útil en forma encriptada dentro de archivos de datos binarios separados e incrustando código malicioso en la memoria de aplicaciones legítimas a través del secuestro de DLL y una cadena de inyecciones de memoria”.