Descubierto un grupo chino que llevaba cinco años realizando campañas de ciberespionaje

  • Actualidad

Check Point ha descubierto un grupo de cibercriminales chinos que llevaba cinco años realizando campañas de ciberespionaje contra gobiernos de países de Asia y Pacífico. Conocido como Naikon, trataba de infiltrarse en un organismo gubernamental con el objetivo de utilizar sus contactos y documentación para lanzar ataques contra otras entidades e infectar sus equipos con el malware 'Aria-body'.

 

Recomendados: 

WEBINAR >> Vídeo colaboración y reuniones virtuales para una comunicación efectiva Registro 

WEBINAR >> Automatización Inteligente de Procesos para asegurar la continuidad del negocio Registro

Naikon es un grupo chino APT que se ha mantenido en activo durante el último lustro, tal y como ha podido constatar Check Point en una investigación. En ese tiempo, según explica la firma de seguridad, en 2015 varios ataques contra organismos gubernamentales y otras organizaciones en países situados alrededor del Mar de China, que tenían como objetivo acceder a información política confidencial. Sin embargo, durante ese mismo año el grupo parecía haber cesado su actividad, pero fue solo en apariencia, puesto que los investigadores de la compañía han descubierto que sigue activo y que sus acciones de ciberespionaje durante todo el 2019 y el primer trimestre de 2020. 

Este grupo de cibercriminales, que tiene como principal objetivo reunir una gran cantidad de información sensible con fines geopolíticos, dirige sus ataques principalmente a entidades gubernamentales como los ministerios de Asuntos Exteriores o Ciencia y Tecnología de países de la región de Asia y Pacífico, entre los que destacan Australia, Indonesia, Filipinas, Vietnam, Tailandia, Myanmar y Brunei.

La forma de operar de este grupo consistía en infiltrarse en un organismo gubernamental con el objetivo de utilizar sus contactos y documentos para lanzar ataques contra otras entidades, aprovechando la confianza y las relaciones diplomáticas para aumentar el porcentaje de éxito de que sus ataques. La cadena de infección se desarrolla en tres etapas:

- Suplantar la identidad de un organismo gubernamental para engañar a la víctima: Naikon comienza su ataque elaborando un correo electrónico con un documento que contiene información de interés para los objetivos. Estos datos pueden sacarse de fuentes abiertas, aunque procuran utilizar información robada de otros sistemas.

- Infectar los documentos con malware para infiltrarse en los sistemas de destino: el grupo de cibercriminales infecta los documentos con “Aria-body”, un malware de tipo backdoor que les ofrece acceso a las redes de los objetivos.

- Usar los propios servidores de los gobiernos para continuar y controlar los ataques: Naikon se aprovecha de las infraestructuras y los servidores de sus víctimas para lanzar nuevos ataques, lo que contribuye a evitar su detección. Los expertos de Check Point descubrieron en uno de los casos que analizaron que el servidor que se había utilizado para el ataque pertenecía al departamento de ciencia y tecnología del gobierno de Filipinas. 

Desde Check Point, recomiendan a todas las entidades gubernamentales que extremen sus medidas de seguridad frente a este o cualquier otro grupo de cibercriminales. Además, sus expertos recomiendan contar con buenasherramientas de seguridad para poder hacer frente a las nuevas generaciones de ciberamenazas, que son cada vez más sofisticadas.