Google reveló el miércoles que trabajó con socios de la industria para alterar la infraestructura de un supuesto agrupación de ciberespionaje vinculado a China, rastreado como UNC2814 que violó al menos 53 organizaciones en 42 países.
“Este actor prolífico y esquivo tiene una larga historia de atacar a gobiernos internacionales y organizaciones globales de telecomunicaciones en África, Asia y América”, dijeron Google Threat Intelligence Group (GTIG) y Mandiant en un documentación publicado hoy.
Asimismo se sospecha que UNC2814 está relacionado con infecciones adicionales en más de 20 países más. Se ha observado que el titán tecnológico, que ha estado rastreando al actor de amenazas desde 2017, utiliza llamadas API para comunicarse con aplicaciones de software como servicio (SaaS) como infraestructura de comando y control (C2). La idea, añadió, es disfrazar su tráfico astuto como indulgente.
Un tipo central de las operaciones del agrupación de hackers es una novedosa puerta trasera denominada GRIDTIDE que abusa de la API de Google Sheets como canal de comunicación para disfrazar el tráfico C2 y solucionar la transferencia de datos sin procesar y comandos de shell. Es un malware basado en C que admite la carga/descarga de archivos y la ejecución de comandos de shell arbitrarios.
Exactamente cómo UNC2814 obtiene comunicación original sigue siendo un tema de investigación, pero se dice que el agrupación tiene un historial de explotación y compromiso de servidores web y sistemas perimetrales.
Los ataques organizados por el actor de amenazas han aplicado una cuenta de servicio para moverse lateralmente interiormente del entorno a través de SSH. Asimismo se utilizan binarios que viven de la tierra (LotL) para realizar reconocimientos, esquilar privilegios y configurar la persistencia para la puerta trasera.
“Para conseguir persistencia, el actor de la amenaza creó un servicio para el malware en /etc/systemd/system/xapt.service y, una vez recaudador, se generó una nueva instancia del malware desde /usr/sbin/xapt”, explicó Google.
Otro aspecto digno de mención es la implementación de SoftEther VPN Bridge para establecer una conexión cifrada de salida a una dirección IP externa. Vale la pena mencionar aquí que el exceso de SoftEther VPN se ha relacionado con múltiples grupos de hackers chinos.
Hay evidencia que indica que GRIDTIDE se coloca en puntos finales que contienen información de identificación personal (PII), un aspecto que es consistente con la actividad de ciberespionaje centrada en monitorear personas de interés. Google, sin requisa, señaló que no observó ninguna filtración de datos durante el transcurso de la campaña.
 |
| Ciclo de vida de ejecución de GRIDTIDE |
El mecanismo C2 de GRIDTIDE implica un mecanismo de tienta basado en celdas, donde se asignan roles específicos a ciertas celdas de la hoja de cálculo para permitir la comunicación bidireccional.
- A1, para sondear los comandos del atacante y sobrescribirlos con una respuesta de estado (por ejemplo, SCR o Server-Command-Success)
- A2-An, para transferir datos, como futuro de comandos y archivos
- V1, para juntar datos del sistema desde el punto final de la víctima
Como parte de la energía, Google dijo que puso fin a todos los proyectos de Google Cloud controlados por el atacante, deshabilitó toda la infraestructura UNC2814 conocida y cortó el comunicación a las cuentas controladas por el atacante y a las llamadas API de Google Sheets aprovechadas por el actor para fines de comando y control (C2).
El titán tecnológico describió la UNC2814 como una de las “campañas más impactantes y de decano repercusión” encontradas en los últimos primaveras, y agregó que ha emitido notificaciones formales a las víctimas para cada uno de los objetivos y que está apoyando activamente a las organizaciones con compromisos verificados como resultado de esta amenaza.
El final descubrimiento es uno de los muchos esfuerzos simultáneos de los grupos de estados-nación chinos para integrarse en redes para obtener comunicación a espléndido plazo. El exposición todavía destaca que el borde de la red continúa siendo el más afectado por los intentos de explotación en todo Internet, y los actores de amenazas frecuentemente explotan vulnerabilidades y configuraciones incorrectas en dichos dispositivos como un punto de entrada popular a las redes empresariales.
Estos dispositivos se han convertido en objetivos atractivos en los últimos primaveras, ya que normalmente carecen de detección de malware en los terminales, pero proporcionan comunicación directo a la red o puntos de pivote a los servicios internos si se ven comprometidos.
“El repercusión entero de la actividad de UNC2814, evidenciado por operaciones confirmadas o sospechadas en más de 70 países, subraya la dificultoso amenaza que enfrentan los sectores de telecomunicaciones y gobierno, y la capacidad de estas intrusiones para escamotear la detección de los defensores”, dijo Google.
“Las intrusiones prolíficas de esta escalera son generalmente el resultado de primaveras de esfuerzo concentrado y no se restablecerán fácilmente. Esperamos que UNC2814 trabaje duro para restablecer su huella entero”.
