Los investigadores han descubierto una campaña de piratería masiva que utiliza herramientas y técnicas sofisticadas para comprometer las redes de empresas de todo el mundo.
Los piratas informáticos, probablemente de un grupo conocido financiado por el gobierno chino, están equipados con herramientas tanto estándar como personalizadas. Una de esas herramientas explota Zerologon, el nombre que se le da a una vulnerabilidad de servidor de Windows, parcheada en agosto, que puede otorgar a los atacantes privilegios de administrador instantáneos en sistemas vulnerables.
Symantec usa el nombre en clave Cicada para el grupo, que se cree que está financiado por el gobierno chino y también lleva los apodos de APT10, Stone Panda y Cloud Hopper de otras organizaciones de investigación. El grupo, que no tiene relación ni afiliación con ninguna empresa que use el nombre Cicada, ha estado activo en el pirateo de espionaje desde al menos 2009 y se dirige casi exclusivamente a empresas vinculadas a Japón. Si bien las empresas a las que se apunta en la campaña reciente están ubicadas en los Estados Unidos y otros países, todas tienen vínculos con Japón o empresas japonesas.
Al acecho
“Las organizaciones vinculadas a Japón deben estar en alerta, ya que está claro que son un objetivo clave de este grupo sofisticado y con buenos recursos, con la industria automotriz aparentemente un objetivo clave en esta campaña de ataque”, escribieron investigadores de la firma de seguridad Symantec en un reporte
Los ataques hacen un uso extensivo de la carga lateral de DLL, una técnica que ocurre cuando los atacantes reemplazan un archivo legítimo de biblioteca de vínculos dinámicos de Windows por uno malicioso. Los atacantes utilizan la carga lateral de DLL para inyectar malware en procesos legítimos para evitar que el software de seguridad detecte el ataque.
La campaña también hace uso de una herramienta que es capaz de explotar Zerologon. Los exploits funcionan enviando una cadena de ceros en una serie de mensajes que usan el protocolo Netlogon, que los servidores de Windows usan para permitir que los usuarios inicien sesión en las redes. Las personas sin autenticación pueden usar Zerologon para acceder a las joyas de la corona de una organización: los controladores de dominio de Active Directory que actúan como un guardián todopoderoso para todas las máquinas conectadas a una red.
Microsoft parcheó la vulnerabilidad crítica de escalada de privilegios en agosto, pero desde entonces, los atacantes la han estado utilizando para comprometer a las organizaciones que aún no han instalado la actualización. Tanto el FBI como el Departamento de Seguridad Nacional han instado a que los sistemas sean parcheados de inmediato.
Entre las máquinas comprometidas durante los ataques descubiertos por Symantec se encuentran controladores de dominio y servidores de archivos. Los investigadores de la compañía también descubrieron evidencia de archivos exfiltrados de algunas de las máquinas comprometidas.
Varias regiones e industrias
Los objetivos provienen de una variedad de industrias, que incluyen:
- Automotriz, con algunos fabricantes y organizaciones involucradas en el suministro de repuestos para la industria del motor también apuntados, lo que indica que este es un sector de gran interés para los atacantes.
- Ropa
- Conglomerados
- Electrónica
- Ingenieria
- Empresas comerciales generales
- Gobierno
- Productos industriales
- Proveedores de servicios gestionados
- Fabricación
- Farmacéutico
- Servicios profesionales
A continuación se muestra un mapa de la ubicación física de los objetivos:
Symantec vinculó los ataques a Cicada basándose en huellas digitales encontradas en el código de ataque y malware. Las huellas dactilares incluían técnicas de ofuscación y código de shell involucrado en la carga lateral de DLL, así como los siguientes rasgos señalados en este informe de 2019 de la firma de seguridad Cylance:
- La DLL de tercera etapa tiene una exportación denominada “FuckYouAnti”
- La DLL de tercera etapa utiliza la técnica CppHostCLR para inyectar y ejecutar el ensamblado del cargador .NET
- .NET Loader está ofuscado con ConfuserEx v1.0.0
- La carga útil final es QuasarRAT, una puerta trasera de código abierto utilizada por Cicada en el pasado.
“La escala de las operaciones también apunta a un grupo del tamaño y las capacidades de Cicada”, escribieron los investigadores de Symantec. “La focalización de múltiples organizaciones grandes en diferentes geografías al mismo tiempo requeriría una gran cantidad de recursos y habilidades que generalmente solo se ven en grupos respaldados por estados nacionales. El vínculo que todas las víctimas tienen con Japón también apunta hacia Cicada, que se sabe que ataca a organizaciones japonesas en el pasado “.