El grupo de espionaje cibernético APT 40 apoya el crecimiento del sector naval de China

Un grupo de espionaje cibernético, seguido como APT 40, aparentemente vinculado al gobierno chino, está enfocado en apuntar a países importantes para la Iniciativa Cinturón y Carreteras del país.

El grupo de ciberespionaje rastreado como APT40 (también conocido como TEMP.Periscope, TEMP.Jumper, y Leviathan), aparentemente vinculado al gobierno chino, se enfoca en apuntar a países importantes para la Iniciativa de Cinturones y Carreteras del país (es decir, Camboya, Bélgica, Alemania, Hong Kong, Filipinas, Malasia, Noruega, Arabia Saudita, Suiza, los Estados Unidos y el Reino Unido).

Los expertos creen que APT40 es un grupo de APT chino patrocinado por el estado debido a su alineación con los intereses del estado chino y los artefactos técnicos que sugieren que el actor tiene su sede en China.

El grupo APT40 ha estado activo desde al menos 2013 y parece estar enfocado en apoyar los esfuerzos de modernización naval del Gobierno de Beijing. Los actores de amenazas se dirigen a los sectores de ingeniería, transporte y defensa; los expertos observaron un interés específico en las tecnologías marítimas.

Los ciberespias también se dirigieron a centros de investigación y universidades involucradas en la investigación naval con la intención de acceder a tecnología avanzada para impulsar el crecimiento de la industria naval china.

“[En 2017] se observó que el APT40 se hacía pasar por un fabricante de UUV y se dirigía a universidades dedicadas a la investigación naval. Ese incidente fue uno de los muchos que se llevaron a cabo para adquirir tecnología avanzada para respaldar el desarrollo de las capacidades navales chinas ", dice el análisis publicado por FireEye.

"Creemos que el énfasis de APT40 en los asuntos marítimos y la tecnología naval en última instancia apoya la ambición de China de establecer una marina de aguas azules".

La lista de víctimas del grupo APT40 también incluye organizaciones con operaciones en el sudeste asiático o involucradas en disputas por el Mar de China Meridional.

Una mirada cercana a las operaciones del grupo reveló que las horas activas de los atacantes se centran alrededor de la Hora estándar de China (UTC +8).

"Varios dominios de comando y control (C2) APT40 fueron registrados inicialmente por los revendedores de dominios con base en China y tenían registros de Whois con información de ubicación china, lo que sugiere un proceso de adquisición de infraestructura con base en China", continúa el análisis.

El APT aprovecha una variedad de técnicas para el compromiso inicial, que incluyen la explotación del servidor web, las campañas de phishing que ofrecen puertas traseras personalizadas y disponibles públicamente, y los compromisos web estratégicos.

APT40 aprovecha los mensajes de phishing utilizando documentos con armas que pueden desencadenar vulnerabilidades a los pocos días de su divulgación. Algunas de las fallas explotadas en ataques anteriores son CVE-2012-0158, CVE-2017-0199, CVE-2017-8759 y CVE-2017 -11882).

Los piratas informáticos utilizan una combinación de herramientas de recolección de credenciales personalizadas y disponibles públicamente para escalar privilegios y volcar hashes de contraseña. El arsenal del grupo incluye el dumper / cracker de contraseñas HOMEFRY, la utilidad ProcDump de Windows Sysinternals y el Editor de credenciales de Windows.

El grupo utilizó programas maliciosos disponibles públicamente y personalizados, como AIRBREAK, FRESHAIR, BEACON, PHOTO, BADFLICK, MURKYSHELL, MURKYTOP, DISHCLOTH, PAPERPUSH y CHINA CHOPPER.

Según FireEye, el grupo aprovecha el Protocolo de escritorio remoto (RDP), SSH, las capacidades nativas de Windows y las aplicaciones legítimas para reconocimiento, movimiento lateral y para ganar persistencia en los sistemas de destino.

El software malicioso utilizado por el grupo APT40 aprovecha servicios legítimos como GitHub, Google y Pastebin para la comunicación inicial de C&C con el fin de evadir la detección. Los atacantes también usan los puertos TCP 80 y 443 para enmascarar el tráfico malicioso de la red.

"A pesar de la mayor atención pública, el APT40 continúa realizando operaciones de espionaje cibernético siguiendo un ritmo regular, y anticipamos que sus operaciones continuarán al menos en el corto y mediano plazo".

FireEye concluye. "Sobre la base de la ampliación del APT40 a los objetivos relacionados con las elecciones en 2017, evaluamos con moderada confianza que la futura orientación del grupo afectará a sectores adicionales más allá del marítimo, impulsados ​​por eventos como el Cinturón y la Iniciativa de Carreteras de China" 



Compartir...


Siguenos en twitter: @disoftin


Publicar un comentario

0 Comentarios