Los piratas informáticos del estado de China están comprometiendo una gran cantidad de enrutadores domésticos y de oficina para su uso en un ataque extenso y continuo contra organizaciones en Francia, dijeron las autoridades de ese condado.
El grupo de piratería, conocido en los círculos de seguridad como APT31, Zirconium, Panda y otros nombres, ha realizado históricamente campañas de espionaje dirigidas a organizaciones gubernamentales, financieras, aeroespaciales y de defensa, así como a empresas de tecnología, construcción, ingeniería, telecomunicaciones, medios y industrias de seguros, empresa de seguridad FireEye ha dicho. APT31 es también uno de los tres grupos de hackers patrocinados por el gobierno chino que participó en una reciente ola de piratería de servidores Microsoft Exchange, el Centro Nacional de Seguridad Cibernética del Reino Unido. dijo el lunes.
Intrusión y reconocimiento furtivo
El miércoles, la Agencia Nacional de Seguridad de los Sistemas de Información de Francia, abreviada como ANSSI, advirtió a las empresas y organizaciones nacionales que el grupo estaba detrás de una campaña de ataque masivo que utilizaba enrutadores pirateados antes de realizar reconocimientos y ataques como un medio para encubrir las intrusiones.
“ANSSI está manejando actualmente una gran campaña de intrusión que afecta a numerosas entidades francesas”, un ANSSI consultivo prevenido. “Los ataques aún están en curso y están dirigidos por un conjunto de intrusiones al que se hace referencia públicamente como APT31. A partir de nuestras investigaciones, parece que el actor de amenazas utiliza una red de enrutadores domésticos comprometidos como cajas de retransmisión operativas para realizar reconocimientos sigilosos y ataques “.
El aviso contiene indicadores de compromiso que las organizaciones pueden usar para determinar si fueron pirateados o atacados en la campaña. Los indicadores incluyen 161 direcciones IP, aunque no está del todo claro si pertenecen a enrutadores comprometidos u otros tipos de dispositivos conectados a Internet utilizados en los ataques.
A grafico Al trazar los países que albergan las IP, creado por el investigador Will Thomas de la firma de seguridad Cyjax, muestra que la mayor concentración se encuentra en Rusia, seguida de Egipto, Marruecos, Tailandia y los Emiratos Árabes Unidos.
Ninguna de las direcciones está alojada en Francia o en cualquiera de los países de Europa Occidental, o naciones que forman parte del Alianza cinco ojos
“APT31 normalmente utiliza enrutadores pwned dentro de los países seleccionados como el salto final para evitar algunas sospechas, pero en esta campaña a menos que [French security agency] CERT-FR los ha omitido, no lo están haciendo aquí ”, dijo Thomas en un mensaje directo. “La otra dificultad aquí es que algunos de los enrutadores probablemente también se verán comprometidos por otros atacantes en el pasado o al mismo tiempo”.
Enrutadores en la mira
En Twitter, el analista de amenazas de Microsoft Ben Koehl proporcionó contexto adicional para Zirconium: el nombre del fabricante del software para APT31.
El escribio:
ZIRCONIUM parece operar numerosas redes de enrutadores para facilitar estas acciones. Se colocan en capas y se utilizan estratégicamente. Si se investigan estas direcciones IP, deberían utilizarse principalmente como IP de origen, pero en ocasiones apuntan tráfico de implantes a la red.
Históricamente, hicieron lo clásico. Tengo un enfoque dnsname -> ip para las comunicaciones C2. Desde entonces, han movido ese tráfico a la red del enrutador. Esto les permite flexibilidad para manipular el destino del tráfico en varias capas mientras ralentiza los esfuerzos de los elementos de persecución.
Por otro lado, pueden salir en los países de sus objetivos para _algo_ evadir las técnicas básicas de detección.
ZIRCONIUM parece operar numerosas redes de enrutadores para facilitar estas acciones. Se colocan en capas y se utilizan estratégicamente. Si investiga estas direcciones IP, deberían usarse principalmente como IP de origen, pero en ocasiones apuntan tráfico de implantes a la red.
– bk (Ben Koehl) (@bkMSFT) 21 de julio de 2021
Los piratas informáticos han utilizado enrutadores domésticos y de pequeñas oficinas comprometidos durante años para su uso en redes de bots que realizan ataques de denegación de servicio paralizantes, redirigen a los usuarios a sitios maliciosos y actúan como proxies para realizar ataques de fuerza bruta, explotar vulnerabilidades, escanear puertos y exfiltrar datos de objetivos pirateados. En 2018, investigadores del equipo de seguridad Talos de Cisco descubrieron VPNFilter, un malware vinculado a piratas informáticos del estado ruso que infectó a más de 500.000 enrutadores para su uso en una amplia gama de propósitos nefastos. Ese mismo año, investigadores de Akamai detallado explotaciones de enrutador que utilizaban una técnica llamada UPnProxy.
Las personas a las que les preocupa que sus dispositivos estén comprometidos deben reiniciarlos periódicamente, ya que la mayoría de los programas maliciosos de enrutadores no pueden sobrevivir a un reinicio. Los usuarios también deben asegurarse de que la administración remota esté desactivada (a menos que realmente sea necesaria y bloqueada) y que los servidores DNS y otras configuraciones no se hayan cambiado de manera maliciosa. Como siempre, instalar actualizaciones de firmware de inmediato es una buena idea.