La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en inglés) emitió un nuevo aviso el lunes sobre una ola de ataques cibernéticos llevados a cabo por actores del estado-nación chino dirigidos a agencias gubernamentales y entidades privadas de EE. UU.
«CISA ha observado que los chinos [Ministry of State Security]-actores de amenazas cibernéticas afiliados que operan desde la República Popular China utilizando fuentes de información disponibles comercialmente y herramientas de explotación de código abierto para apuntar a las redes de agencias del gobierno de EE. UU. «, dijo la agencia de seguridad cibernética.
En los últimos 12 meses, las víctimas fueron identificadas a través de fuentes como Shodan, la base de datos de exposición y vulnerabilidades comunes (CVE) y la base de datos de vulnerabilidades nacionales (NVD), aprovechando la publicación pública de una vulnerabilidad para elegir objetivos vulnerables y promover sus motivos. .
Al comprometer sitios web legítimos y aprovechar los correos electrónicos de phishing con enlaces maliciosos que apuntan a sitios propiedad de los atacantes para obtener acceso inicial, los actores de amenazas chinos han implementado herramientas de código abierto como Cobalt Strike, China Chopper Web Shell y el ladrón de credenciales Mimikatz. para extraer información confidencial de los sistemas infectados.
Eso no es todo. Aprovechando el hecho de que las organizaciones no están mitigando rápidamente las vulnerabilidades de software conocidas, los atacantes patrocinados por el estado están «apuntando, escaneando y sondeando» las redes del gobierno de los EE. -5902), Citrix VPN (CVE-2019-19781), Pulse Secure VPN (CVE-2019-11510) y Microsoft Exchange Servers (CVE-2020-0688) para comprometer objetivos.
“Los actores de amenazas cibernéticas también continúan identificando grandes depósitos de credenciales que están disponibles en Internet para permitir ataques de fuerza bruta”, dijo la agencia. «Si bien este tipo de actividad no es un resultado directo de la explotación de vulnerabilidades emergentes, demuestra que los actores de amenazas cibernéticas pueden usar de manera efectiva la información de fuente abierta disponible para lograr sus objetivos».
Esta no es la primera vez que los actores chinos trabajan en nombre del MSS de China para infiltrarse en varias industrias en los EE. UU. y otros países.
En julio, el Departamento de Justicia de EE. UU. (DoJ) acusó a dos ciudadanos chinos por su supuesta participación en una ola de piratería de una década que abarcó los sectores de fabricación de alta tecnología, ingeniería industrial, defensa, educación, software de juegos y farmacéutico con el objetivo de robar el comercio. secretos e información comercial confidencial.
Pero no es sólo China. A principios de este año, la empresa de seguridad israelí ClearSky descubrió una campaña de ciberespionaje denominada «Fox Kitten» que se dirigía a empresas gubernamentales, de aviación, de petróleo y gas y de seguridad al explotar vulnerabilidades de VPN sin parches para penetrar y robar información de empresas objetivo, lo que llevó a CISA a emitir múltiples medidas de seguridad. alertas instando a las empresas a proteger sus entornos VPN.
Afirmando que los actores sofisticados de amenazas cibernéticas continuarán utilizando recursos y herramientas de código abierto para identificar redes con una postura de baja seguridad, CISA ha recomendado a las organizaciones parchear las vulnerabilidades explotadas de forma rutinaria y «auditar su configuración y programas de gestión de parches para garantizar que puedan rastrear y mitigar las amenazas emergentes».
