Oleada de ataques de ciber-espías de china

0
323

Hacia fines de 2017, ciber-espías chinos han participado en una ola de piratas informáticos dirigida contra al menos cuatro think tanks estadounidenses y otras dos organizaciones no gubernamentales (ONG), según revelaron investigadores de la firma estadounidense Crowdstrike en un informe publicado la semana pasada.

Los ataques comenzaron a fines de octubre y se llevaron a cabo de manera similar, al infectar los objetivos y desplegar la cosechadora de credenciales Mimikatz y el caparazón web de China Chopper en los servidores afectados.

Los atacantes recopilaron los correos electrónicos de los empleados, robaron credenciales e implementaron malware de segunda etapa. Los intrusos también usaban malware para buscar y robar documentos que contenían términos como «china», «cyber», «japón», «corea», «chino» y «león ansioso» (nombre en clave de un ejercicio militar de los EE. UU.).

«Think Tank» es un término que se usa predominantemente en los EE. UU. Para describir las organizaciones que realizan investigaciones sobre temas tales como política social, estrategia política, economía, militar, tecnología y cultura.

En el panorama geopolítico de los Estados Unidos, las agencias gubernamentales contratan think tanks para explorar escenarios militares y políticos e idear posibles resultados para las próximas decisiones gubernamentales y eventos mundiales. Los think tanks también suelen realizar juegos de guerra ficticios.

Un atacante con acceso a la investigación llevada a cabo por grupos de expertos aprenderá sobre los planes futuros del gobierno o sobre el tipo de escenarios políticos y militares que el gobierno está explorando actualmente.

Ciber-espías chinos atacaron un think tank por días

En un caso particular, los hackers chinos atacaron una organización de think tanks que trabajaba en un proyecto de investigación militar en curso durante cuatro días sin éxito.

Al igual que con muchas de las intrusiones dirigidas a China actualmente observadas, el adversario intentó utilizar China Chopper para el reconocimiento y el movimiento lateral después de iniciar sesión a través de una cuenta comprometida por spear phishing. Como es frecuente entre los clientes de CrowdStrike, el bloqueo de webshell se habilitó en la plataforma Falcon, lo que impidió que el actor utilizara webshell para ejecutar los comandos.

El operador intentó acceder al servidor utilizando el shell China Chopper durante cuatro días seguidos, mostrando una dedicación particular para llegar a este punto final. El actor intentó varias solicitudes whoami durante el horario comercial normal de Beijing. El cuarto día, después de repetidos fracasos, se produjeron intentos de acceso posteriores a las 11 p.m. Hora de Beijing. Es probable que este intento fuera de horario haya sido realizado por un operador diferente o, posiblemente, alguien haya llamado para solucionar el problema del webshell. Después de una serie de pruebas rápidas, la actividad cesó y no se hicieron intentos durante el fin de semana. Excepto por las 11 p.m. inicio de sesión, la actividad observada sugiere que el adversario es un equipo profesional con horas de funcionamiento normales y tareas asignadas.

 

DEJA UNA RESPUESTA

¡Por Favor deje su comentario!
Por favor ingrese su nombre