Sophos lleva más de cinco años investigando a varios grupos con base en China que atacan los firewalls de Sophos con botnets, nuevos exploits y malware a medida.
Con la ayuda de otros proveedores de ciberseguridad, gobiernos y organismos encargados de hacer cumplir la ley, hemos podido atribuir grupos específicos de actividad observada a Volt Typhoon, APT31 y APT41/Winnti con distintos niveles de seguridad.
Sophos X-Ops ha identificado de forma fiable la actividad de exploits llevada a cabo en la región de Sichuan. En consonancia con la legislación china sobre divulgación de vulnerabilidades, X-Ops cree con un alto grado de seguridad que los exploits desarrollados se compartieron después con varios grupos de primera línea patrocinados por el estado con diferentes objetivos, capacidades y herramientas post-exploit.
Durante el periodo rastreado, Sophos identificó tres comportamientos evolutivos clave de los atacantes:
- Un cambio de enfoque: de ataques generalizados indiscriminados y ruidosos (que X-Ops concluyó que eran intentos fallidos de construir cajas de conexiones operativas [ORB] para facilitar futuros ataques selectivos) a operaciones más sigilosas contra objetivos específicos de alto valor e infraestructuras críticas, localizadas principalmente en la región Indo-Pacífica. Entre las organizaciones víctimas se encuentran proveedores y reguladores de energía nuclear, fuerzas armadas, telecomunicaciones, agencias de seguridad estatales y gobiernos centrales.
- Se ha producido una evolución en las capacidades de sigilo y persistencia. Entre los TTP (Tácticas, Técnicas y Procedimientos) recientes cabe destacar el uso cada vez mayor de «living-off-the-land», la inclusión de clases Java ocultas, troyanos solo de memoria, un gran rootkit no revelado previamente (con opciones de diseño y artefactos indicativos de capacidades multiplataforma multiproveedor) y una primera versión experimental de un bootkit UEFI. X-Ops cree que es el primer caso observado de uso de bootkit en un firewall.
- LMejoras OPSEC de los actores de la amenaza como sabotear la recogida de telemetría del firewall, afectar a las capacidades de detección y respuesta, y obstaculizar la investigación OSINT mediante una huella digital reducida.
Continúa leyendo el artículo completo (en inglés).