La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió un nuevo aviso el lunes sobre una ola de ataques cibernéticos llevados a cabo por actores estatales chinos contra agencias gubernamentales y entidades privadas de EE. UU.
«CISA ha observado a los actores de amenazas cibernéticas afiliados al [Ministerio de Seguridad del Estado] chinos que operan desde la República Popular China utilizando fuentes de información disponibles comercialmente y herramientas de explotación de código abierto para atacar las redes de agencias del gobierno de Estados Unidos», dijo la agencia de ciberseguridad.
Durante los últimos 12 meses, las víctimas fueron identificadas a través de fuentes como Shodan , Common Vulnerabilities and Exposure (CVE) y la Base de Datos Nacional de Vulnerabilidades (NVD), aprovechando la publicación pública de una vulnerabilidad para elegir objetivos vulnerables y promover sus motivos.
Al comprometer los sitios web legítimos y aprovechar los correos electrónicos de suplantación de identidad con enlaces maliciosos que apuntan a sitios propiedad del atacante para obtener acceso inicial, los actores de amenazas chinos han implementado herramientas de código abierto como Cobalt Strike , China Chopper Web Shell y Mimikatz credential stealer para extraer información confidencial de los sistemas infectados.
Eso no es todo. Aprovechando el hecho de que las organizaciones no están mitigando rápidamente las vulnerabilidades de software conocidas, los atacantes patrocinados por el estado están «apuntando, escaneando e investigando» las redes del gobierno de los EE. UU. En busca de fallas sin parches en la interfaz de usuario de administración de tráfico Big-IP de F5 Networks ( CVE-2020 -5902 ), Citrix VPN ( CVE-2019-19781), Pulse Secure VPN ( CVE-2019-11510 ) y Microsoft Exchange Servers ( CVE-2020-0688 ) para comprometer los objetivos.
«Los actores de amenazas cibernéticas también continúan identificando grandes depósitos de credenciales que están disponibles en Internet para permitir ataques de fuerza bruta», dijo la agencia. «Si bien este tipo de actividad no es un resultado directo de la explotación de vulnerabilidades emergentes, demuestra que los actores de amenazas cibernéticas pueden utilizar de manera efectiva la información de código abierto disponible para lograr sus objetivos».
Esta no es la primera vez que los actores chinos trabajan en nombre de los MSS de China para infiltrarse en varias industrias en los EE. UU. Y otros países.
En julio, el Departamento de Justicia de EE. UU. (DoJ) acusó a dos ciudadanos chinos por su presunta participación en una ola de piratería de una década que abarca los sectores de fabricación de alta tecnología, ingeniería industrial, defensa, educación, software de juegos y farmacéutico con el objetivo de robar comercio. secretos e información comercial confidencial.
Pero no es solo China. A principios de este año, la empresa de seguridad israelí ClearSky descubrió una campaña de ciberespionaje denominada » Fox Kitten » que tenía como objetivo a empresas gubernamentales, de aviación, de petróleo y gas y de seguridad mediante la explotación de vulnerabilidades de VPN sin parches para penetrar y robar información de las empresas objetivo, lo que llevó a CISA a emitir varias medidas de seguridad. alertas que instan a las empresas a proteger sus entornos VPN.
Al afirmar que los actores sofisticados de amenazas cibernéticas continuarán utilizando recursos y herramientas de código abierto para identificar las redes con una postura de baja seguridad, CISA recomendó a las organizaciones que parcheen las vulnerabilidades explotadas de manera rutinaria y «auditen su configuración y programas de administración de parches para asegurarse de que puedan rastrear y mitigar las amenazas emergentes».
