Detrás de una serie de ataques dirigidos a los ejecutivos federales de Rusia en 2020 puede haber una amalgama de varios grupos de amenazas respaldados por el estado de China.
La última investigación, publicada por Group-IB con sede en Singapur, está inmersa en una pieza de virus informático llamada «Webdav-OLa firma de seguridad cibernética observó similitudes entre la herramienta y la popular herramienta de caballo de Troya llamada «BlueTraveller», que se sabe que está vinculada a un grupo de amenazas chino llamado TaskMasters y participa en actividades maliciosas de espionaje y saqueo de documentos confidenciales.
«Las APT chinas son una de las comunidades de hackers más numerosas y agresivas», dijeron los investigadores Anastasia Tikhonova y Dmitry Kupin. «Los piratas informáticos se dirigen principalmente a agencias gubernamentales, instalaciones industriales, contratistas militares e institutos de investigación. El objetivo principal es el espionaje: los atacantes obtienen acceso a datos confidenciales e intentan ocultar su presencia el mayor tiempo posible».
El informe se basa en una serie de lanzamientos de mayo de Solar JSOC y SentinelOne, los cuales expusieron el malware llamado «Mail-O», que también se observó en ataques contra las autoridades federales de Rusia para acceder al servicio en la nube Mail.ru. SentinelOne combina esto con una variante de otro malware conocido llamado «PhantomNet» o «SManager» que usa una amenaza llamada TA428.
«El objetivo principal de los piratas informáticos era comprometer por completo la infraestructura de TI y robar información confidencial, incluidos documentos de segmentos cerrados y correspondencia por correo electrónico de ejecutivos federales clave», dijo Solar JSOC, y agregó que «el malware de los ciberdelincuentes y una comprensión profunda de la especificidades del trabajo de las herramientas de protección de la información instaladas en los órganos de gobierno”.
El análisis de Group-IB se centra en la muestra de Webdav-O cargada en VirusTotal en noviembre de 2019 y las superposiciones que comparte con la muestra de malware descrita en detalle por Solar JSOC, y los investigadores descubrieron que es una versión más nueva, parcialmente improvisada, con funciones adicionales. . La muestra de Webdav-O detectada también se asoció con el troyano BlueTraveller con referencia a las similitudes del código fuente y el procesamiento de comandos.
Además, una investigación adicional del kit de herramientas TA428 reveló numerosos puntos en común entre BlueTraveller y una cepa de malware naciente llamada «Albaniiutas», que se atribuyó a un actor de amenazas en diciembre de 2020, lo que sugiere que Albaniiutas no solo es una versión actualizada de BlueTraveller, sino también que Webdav -About malware es la versión BlueTraveller.
«Es notable que los grupos de piratería chinos estén intercambiando activamente herramientas e infraestructura, pero este puede ser el caso», dijeron los investigadores. «Esto significa que un solo caballo de Troya puede ser configurado y modificado por piratas informáticos de diferentes departamentos con diferentes niveles de capacitación y diferentes objetivos. Los piratas informáticos se componen de diferentes unidades».
