imágenes falsas
Piratas informáticos de estados nacionales con sede en China infectaron recientemente una autoridad de certificación y varias agencias gubernamentales y de defensa con un potente cóctel de malware para infiltrarse en una red y robar información confidencial, dijeron investigadores el martes.
El compromiso exitoso de la autoridad de certificación sin nombre es potencialmente grave, porque los navegadores y los sistemas operativos confían en estas entidades para certificar las identidades responsables de un servidor o aplicación en particular. En caso de que los piratas informáticos obtuvieran el control de la infraestructura de la organización, podrían usarlo para firmar digitalmente su malware para que pase más fácilmente las protecciones de puntos finales. También podrían suplantar criptográficamente sitios web de confianza o interceptar datos cifrados.
Si bien los investigadores que descubrieron la brecha no encontraron evidencia de que la infraestructura de certificados se haya visto comprometida, dijeron que esta campaña era solo la última de un grupo al que llaman Billbug, que tiene un historial documentado de hacks notables que se remonta al menos a 2009.
“La capacidad de este actor para comprometer a múltiples víctimas a la vez indica que este grupo de amenazas sigue siendo un operador hábil y con buenos recursos que es capaz de llevar a cabo campañas sostenidas y de amplio alcance”, investigadores de Symantec. escribió
Symantec documentado por primera vez Billbug en 2018, cuando los investigadores de la compañía rastrearon al grupo bajo el nombre de Thrip. El grupo pirateó múltiples objetivos, incluido un operador de comunicaciones por satélite, una empresa de mapeo e imágenes geoespaciales, tres operadores de telecomunicaciones diferentes y un contratista de defensa. De particular preocupación fue el ataque al operador satelital porque los atacantes “parecían estar particularmente interesados en el lado operativo de la empresa, buscando e infectando computadoras que ejecutan software que monitorea y controla los satélites”. Los investigadores especularon que la motivación de los piratas informáticos puede haber ido más allá del espionaje para incluir también la interrupción.
Los investigadores finalmente rastrearon la actividad de piratería a computadoras ubicadas físicamente en China. Además del sudeste asiático, los objetivos también se ubicaron en los EE. UU.
Un poco más que un año después, Symantec recopiló nueva información que permitió a los investigadores determinar que Thrip era efectivamente lo mismo que un grupo existente más antiguo conocido como Billbug o Lotus Blossom. En los 15 meses transcurridos desde el primer artículo, Billbug había pirateado con éxito 12 organizaciones en Hong Kong, Macao, Indonesia, Malasia, Filipinas y Vietnam. Las víctimas incluyeron objetivos militares, comunicaciones marítimas y sectores de medios y educación.
Billbug usó una combinación de software legítimo y malware personalizado para infiltrarse en las redes de sus víctimas. El uso de software legítimo como PsExec, PowerShell, Mimikatz, WinSCP y LogMeIn permitió que las actividades de piratería se combinaran con las operaciones normales en los entornos comprometidos. Los piratas informáticos también utilizaron el ladrón de información personalizado Catchamas y las puertas traseras denominadas Hannotog y Sagerunex.
En la campaña más reciente dirigida a la autoridad certificadora y otras organizaciones, Billbug volvió con Hannotog y Sagerunex, pero también utilizó una gran cantidad de software nuevo y legítimo, incluidos AdFind, Winmail, WinRAR, Ping, Tracert, Route, NBTscan, Certutil y Escáner de puertos.
La publicación del martes incluye una serie de detalles técnicos que las personas pueden usar para determinar si han sido atacados por Billbug. Symantec es el brazo de seguridad de Broadcom Software.