Inicio / Opinion / El histórico APT10 Cyber ​​Espionage Group rompió los sistemas en más de 12 países

El histórico APT10 Cyber ​​Espionage Group rompió los sistemas en más de 12 países

Un conocido grupo de piratería vinculado a la agencia de inteligencia y seguridad de China ha estado robando secretos durante más de una década de organizaciones en al menos 12 países, de una amplia gama de industrias.

Conocido en el espacio infosec como APT10, CVNX, Red Apollo, Cloud Hopper, Stone Panda, MenuPass y Potassium, el grupo opera desde al menos 2006 ejecutando campañas de ciberespionaje a nivel mundial.

Operaciones mundiales

El grupo ha comprometido con éxito a los proveedores de servicios gestionados (MSP): empresas que proporcionan a los clientes la infraestructura de TI necesaria (servidores, almacenamiento, redes) y servicios de consultoría y soporte relacionados.

Investigadores de seguridad de BAE, PwC y FireEye que monitorearon al actor de amenazas observaron esta táctica desde 2016 y publicaron detalles sobre sus hallazgos en 2017.

El propósito de APT10 era acceder a la propiedad intelectual y datos comerciales confidenciales de clientes de MSP en países no limitados a Brasil, Canadá, Suecia, India, Suiza, Finlandia, Japón, Alemania, Francia, los Emiratos Árabes Unidos, el Reino Unido y los Estados Unidos.

Las campañas de piratería atribuidas al adversario chino indican interés en una amplia gama de sectores de la industria. Entre las víctimas se encuentran instituciones financieras, compañías de telecomunicaciones y / o electrónica de consumo, dos organizaciones de consultoría, entidades involucradas en la fabricación comercial o industrial, biotecnología, minería, perforación y empresas proveedoras de automóviles.

Reuters informa  que Hewlett Packard Enterprise e IBM se encuentran entre los MSP violados por el grupo de piratería para llegar a los sistemas informáticos de sus clientes. Las intrusiones duraron “semanas y meses”, dice el informe.

En los EE. UU., La actividad APT10 se ha relacionado con ataques a más de 45 entidades en al menos 12 estados. En una ocasión, el actor de amenazas violó 40 computadoras pertenecientes al Departamento de la Marina de los Estados Unidos y robó información confidencial (nombres, SSN, fechas de nacimiento, información de salarios, números de teléfono personales, direcciones de correo electrónico) de más de 100,000 personas.

Modus operandi

Para infiltrarse en la red objetivo, los hackers recurrieron a ataques de phishing con documentos maliciosos. Una vez abiertos, los archivos descargarían y ejecutarían en el sistema un troyano de acceso remoto (RAT).

Algunas de las RAT utilizadas por el grupo incluyen PoisonIvy, PlugX, RedLeaves y Quasar.

Después de identificar los datos de interés del host de la víctima, APT10 los filtraría a sus servidores, pero no antes de comprimirlos y cifrarlos. Los archivos preparados de esta manera viajarán a través de otras computadoras comprometidas en la red o las redes de otros clientes del MSP pirateado, y luego se dirigirán a los piratas informáticos.

A lo largo de los años, el equipo de piratería registró cerca de 1,300 nombres de dominio con fines maliciosos y los entregaría tan pronto como fueran descubiertos por investigadores y compartidos públicamente.

Dos miembros del grupo acusados.

Según una acusación  revelada ayer por el Tribunal de Distrito de los Estados Unidos para el Distrito Sur de Nueva York, dos de los piratas informáticos que permitieron las operaciones APT10 son Zhu Hua (también conocido como Afwar, CVNX, Alayos, Godkiller) y Zhang Shilong (también conocido como Baobeilong, Zhang Jianguo, Atreexp).

El documento dice que Zhu y Zhang, buscados por el FBI , “accedieron sin autorización al menos a 90 sistemas informáticos de empresas de tecnología comercial y de defensa, y a las agencias gubernamentales de los EE. UU., Incluida la NASA y su Laboratorio de Propulsión a Chorro”.

Durante el período de los ataques cibernéticos, los dos trabajaron para una compañía llamada Huayin Haitai, con sede en Tianjin, China, y actuaron en asociación con el Ministerio de Seguridad del Estado (MSS), una agencia de inteligencia china con una oficina en la misma ciudad.

Sede de la Oficina de Seguridad del Estado de Tianjin

Según la acusación, tanto Zhu como Zhang, estaban a cargo del registro de dominios maliciosos y la infraestructura necesaria para las operaciones de ciberespionaje llevadas a cabo por APT10.

Sin embargo, también cumplieron otros roles. Zhu es un probador de penetración que también reclutaría nuevos miembros, mientras que Zhang desarrolló y probó malware para el grupo de piratería, lo que prueba su cuenta de GitHub, ahora cerrada, donde mantuvo tenedores de varias RAT.

Los detalles de los múltiples miembros que se cree que están asociados con las principales campañas de intrusión en China han estado llegando al espacio público de un grupo que publica con motivos poco claros llamados Intrusion Truth , que se definen a sí mismos con la simple frase “Cazamos APT”.

Hasta ahora, gran parte de la información que proporcionaron demostró ser relevante en varias investigaciones relacionadas con APT de empresas de ciberseguridad.

Actualización [21/12/18] Otros cinco estados han emitido declaraciones sobre actividades de piratería atribuidas al Ministerio de Seguridad del Estado de China.

En este momento, todos los países de la Alianza de Inteligencia de los Cinco Ojos: EE. UU., Canadá, el Reino Unido, Nueva Zelanda y Australia se alinearon para atribuir ciberataques a China que se centran en la propiedad intelectual y los datos comerciales confidenciales. Japón se unió al grupo que criticaba los ataques cibernéticos chinos contra su gobierno, empresas e instituciones académicas.

El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido “evalúa con el mayor nivel de probabilidad de que el grupo ampliamente conocido como APT 10 sea responsable de esta campaña cibernética sostenida centrada en proveedores de servicios a gran escala”.

El Establecimiento de Seguridad de Comunicaciones de Canadá dice que es casi seguro que los actores asociados con el Ministerio de Seguridad del Estado en China “sean responsables del compromiso de varios proveedores de servicios administrados (MSP), comenzando tan pronto como 2016”.

El gobierno australiano también critica las acciones del grupo APT10 , actuando en nombre del Ministerio de Seguridad del Estado de China, diciendo que sus intrusiones cibernéticas “fueron significativas y se centraron en los Proveedores de Servicios Gestionados (MSP) a gran escala”.

Según el Japan Times , Takeshi Osuga, el secretario de prensa del Ministerio de Relaciones Exteriores, dijo que “Japón ha identificado ataques continuos por parte del grupo conocido como APT10 a varios objetivos nacionales … y expresa una condena decidida de tal ataque”.

Comenta y comparte con nosotros en nuestra red social, Facebook .

Fuente: bleepingcomputer

Vea También

Google publicó test de phishing para que usuarios aprendan a reconocer correos fraudulentos

La compañía publicó un test para poner a prueba la capacidad de los usuarios de …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.