Pacific Rim, el tira y afloja de Sophos con diferentes adversarios de estados-nación
- Actualidad
La compañía ha publicado un extenso informe en el que relata una operación ofensiva, defensiva y contraofensiva desarrollada durante los últimos cinco años frente a varios grupos de amenazas persistentes avanzadas vinculados a China que tenían como objetivo dispositivos perimetrales.
Pacific Rim podría dar para una película de acción al estilo de “Blackhat: Amenaza en la red” (inspirada, por cierto, en hechos reales en los que participó Kaspersky), aunque el nombre escogido por Sophos ya está pillado. Pacific Rim es un informe que ha publicado la compañía, en el que detalla los intentos de infiltración a través de dispositivos perimetrales y los esfuerzos de Sophos para contrarrestar los ataques.
La compañía explica que “los atacantes utilizaron una serie de campañas con nuevos exploits y malware personalizado para integrar herramientas de vigilancia, sabotaje y ciberespionaje, así como tácticas, herramientas y procedimientos (TTP) que se solapaban con conocidos grupos de estados-nación chinos, como Volt Typhoon, APT31 y APT41”. Todo esto resultado de años de trabajo y análisis, porque empezaron enfrentándose a ataques puntuales, de los que la compañía ha venido informando desde 2020.
Una operación de cinco años
El primer paso se dio a finales de 2018, cuando un ordenador con pocos privilegios de Cyberoam, empresa de Sophos en la India, empezó a escanear la red de la compañía. Encontraron en él una carga maliciosa que tenía como misión monitorizar el tráfico especializado entrante de Internet, con “un novedoso tipo de puerta trasera y un complejo rootkit: Cloud Snooper”.
En 2020, las autoridades europeas, en colaboración con Sophos, localizaron y confiscaron un servidor que los grupos chinos desplegaban sus payloads, Se llamó a la campaña Asnarök y Sophos pudo hacerse con su canal de mando y control, neutralizando oleadas planificadas de ataques de botnet. A medida que Sophos mejoraba sus capacidades de detección y rastreo, los atacantes mejoraban también sus tácticas, desplegando malware cada vez más sigiloso.
Llama especialmente la atención que en varias ocasiones la compañía recibió avisos sobre alguna vulnerabilidad antes de que se pudiera utilizar. Por ejemplo, en 2022, como parte de un programa de recompensas por fallos, un investigador anónimo informó “de una vulnerabilidad de ejecución remota de código zero-day, denominada CVE-2022-1040”. Al parecer, la persona que informó del exploit podría tener conexión con los adversarios. ¿El Chris Hemsworth de Pacific Rim?
Como ya se habrá supuesto, el Pacífico es el escenario de este ejemplo de ciberguerra. Los atacantes tenían como objetivo infraestructuras críticas y objetivos gubernamentales situados en países del sur y el sudeste de Asia. La compañía menciona a proveedores de energía nuclear, el aeropuerto de una capital nacional, un hospital militar, ministerios de gobiernos de la región e incluso un aparato de seguridad del Estado.
Ross McKerchar, CISO de Sophos, explica que “la realidad es que los dispositivos periféricos se han convertido en objetivos muy atractivos para los grupos estatales chinos como Volt Typhoon y otros, que buscan construir redes ORB (Operational Relay Boxes) para ocultar y respaldar su actividad. Esto incluye atacar directamente a una institución con fines de espionaje, o aprovechar indirectamente cualquier punto débil para ataques posteriores, convirtiéndose en daños colaterales. Incluso las instituciones que no son objetivo están siendo atacadas. Los dispositivos de red diseñados para las empresas son objetivos naturales para estos fines: son potentes, están siempre encendidos y tienen conectividad constante”.