Microsoft dijo que ha tomado el control de los servidores que un grupo de piratería con sede en China estaba utilizando para comprometer objetivos que se alinean con los intereses geopolíticos de ese país.
El grupo de piratería, al que Microsoft ha llamado Nickel, ha estado en la mira de Microsoft desde al menos 2016, y la compañía de software ha estado rastreando la campaña de recopilación de inteligencia ahora interrumpida desde 2019. Los ataques, contra agencias gubernamentales, grupos de expertos y humanos organizaciones de derechos humanos en los EE. UU. y otros 28 países: eran “altamente sofisticadas”, dijo Microsoft, y usaban una variedad de técnicas, incluida la explotación de vulnerabilidades en software que los objetivos aún tenían que parchear.
Abajo pero no fuera
A fines de la semana pasada, Microsoft solicitó una orden judicial para incautar los sitios web que Nickel estaba usando para comprometer objetivos. La corte, en el Distrito de la Corte de EE. UU. Para el Distrito Este de Virginia, concedió la moción y abrió la orden el lunes. Con el control de la infraestructura de Nickel, Microsoft ahora “hundirá” el tráfico, lo que significa que se desviará de los servidores de Nickel a servidores operados por Microsoft, que pueden neutralizar la amenaza y obtener inteligencia sobre cómo funciona el grupo y su software.
“Obtener el control de los sitios web maliciosos y redirigir el tráfico de esos sitios a los servidores seguros de Microsoft nos ayudará a proteger a las víctimas actuales y futuras mientras aprendemos más sobre las actividades de Nickel”, escribió Tom Burt, vicepresidente corporativo de Seguridad y Confianza del Cliente de la empresa en un entrada en el blog. “Nuestra interrupción no evitará que Nickel continúe con otras actividades de piratería, pero creemos que hemos eliminado una pieza clave de la infraestructura en la que el grupo ha estado confiando para esta última ola de ataques”.
Las organizaciones objetivo incluyeron a las del sector público y privado, incluidas entidades diplomáticas y ministerios de relaciones exteriores en América del Norte, América Central, América del Sur, el Caribe, Europa y África. A m enudo, existía una correlación entre los objetivos y los intereses geopolíticos en China.
Las organizaciones objetivo estaban ubicadas en otros países, incluidos Argentina, Barbados, Bosnia y Herzegovina, Brasil, Bulgaria, Chile, Colombia, Croacia, República Checa, República Dominicana, Ecuador, El Salvador, Francia, Guatemala, Honduras, Hungría, Italia, Jamaica, Malí. , México, Montenegro, Panamá, Perú, Portugal, Suiza, Trinidad y Tobago, Reino Unido y Venezuela.
Los nombres que otros investigadores de seguridad usan para Nickel incluyen “KE3CHANG”, “APT15”, “Vixen Panda”, “Royal APT” y “Playful Dragon”.
Más de 10,000 sitios eliminados
La acción legal de Microsoft la semana pasada fue la demanda número 24 que la compañía ha presentado contra los actores de amenazas, cinco de los cuales fueron patrocinados por la nación. Las demandas han dado lugar a la eliminación de 10.000 sitios web maliciosos utilizados por piratas informáticos con motivaciones económicas y casi 600 sitios utilizados por piratas informáticos estatales. Microsoft también ha bloqueado el registro de 600.000 sitios que los piratas informáticos habían planeado utilizar en los ataques.
En estas demandas, Microsoft ha invocado varias leyes federales, incluida la Ley de abuso y fraude informático, la Ley de privacidad de comunicaciones electrónicas y la ley de marcas comerciales de EE. UU., Como una forma de apoderarse de los nombres de dominio utilizados para servidores de comando y control. Las acciones legales llevaron a la incautación en 2012 de la infraestructura utilizada por el grupo de piratería Fancy Bear respaldado por el Kremlin, así como por grupos de ataque patrocinados por naciones en Irán, China y Corea del Norte. El fabricante de software también ha recurrido a demandas para interrumpir botnets con nombres como Zeus, Nitol, ZeroAccess, Bamatal y TrickBot. Una acción legal que tomó Microsoft en 2014 llevó a la eliminación de más de un millón de servidores legítimos que dependen de No-IP.com, lo que provocó que un gran número de personas respetuosas de la ley no pudieran acceder a sitios web benignos. Microsoft fue amargamente castigado por la medida.
VPN, credenciales robadas y servidores sin parches
En algunos casos, Nickel pirateó objetivos utilizando proveedores de VPN externos comprometidos o credenciales robadas obtenidas mediante spear-phishing. En otros casos, el grupo aprovechó las vulnerabilidades que Microsoft había parcheado, pero las víctimas aún tenían que instalarlas en los sistemas Exchange Server o SharePoint locales. Una separacion entrada en el blog publicado por Threat Intelligence Center de Microsoft explicó:
MSTIC ha observado que los actores de NICKEL utilizan exploits contra sistemas no parcheados para comprometer los servicios y dispositivos de acceso remoto. Tras una intrusión exitosa, han utilizado dumpers o ladrones de credenciales para obtener credenciales legítimas, que utilizaron para acceder a las cuentas de las víctimas. Los actores de NICKEL crearon e implementaron malware personalizado que les permitió mantener la persistencia en las redes de las víctimas durante períodos de tiempo prolongados. MSTIC también ha observado que NICKEL realiza una recopilación y exfiltración de datos frecuente y programada de las redes de víctimas.
NICKEL compromete con éxito las redes mediante ataques a aplicaciones web orientadas a Internet que se ejecutan en Microsoft Exchange y SharePoint sin parches. También atacan la infraestructura de acceso remoto, como los dispositivos VPN sin parches, como se hace referencia en el FireEye Abril 2021 blog que detalla una vulnerabilidad de 0 días en Pulse Secure VPN que desde entonces ha sido parcheado.
Después de obtener un punto de apoyo inicial en un sistema comprometido, los actores de NICKEL realizaron reconocimientos rutinarios en la red, trabajando para obtener acceso a cuentas adicionales o sistemas de mayor valor. Normalmente, NICKEL implementó un registrador de teclas para capturar las credenciales de los usuarios en sistemas comprometidos. Hemos observado a NICKEL usando Mimikatz, WDigest (un método de autenticación más antiguo que permite al atacante acceder a las credenciales en texto sin cifrar), NTDSDump y otras herramientas de descarga de contraseñas para recopilar credenciales en un sistema de destino y de los navegadores de destino.
Los piratas informáticos de níquel también han utilizado credenciales comprometidas para iniciar sesión en las cuentas de Microsoft 365 de los objetivos a través de inicios de sesión normales con un navegador y el protocolo heredado de Exchange Web Services. La actividad permitió a los piratas informáticos revisar y recopilar correos electrónicos confidenciales. Microsoft también ha observado que Nickel inicia sesión con éxito en cuentas comprometidas a través de proveedores de VPN comerciales e infraestructura controlada por actores por igual.
La última publicación del blog proporciona sugerencias para protegerse de los ataques de Nickel, así como indicadores que los administradores pueden usar para determinar si han sido atacados o comprometidos por el grupo de piratería.