Durante más de cinco años, Sophos ha estado investigando múltiples grupos con sede en China que atacan los firewalls con botnets, exploits novedosos y malware personalizado.
Francisco Carrasco M.
Con la ayuda de otros proveedores de ciberseguridad, gobiernos y agencias de aplicación de la ley, la compañía ha podido, con distintos niveles de confianza, atribuir grupos específicos de actividad observada a Volt Typhoon, APT31 y APT41/Winnti.
De esa manera, Sophos X-Ops logró explotar la actividad de investigación y desarrollo que se lleva a cabo en la región de Sichuan. De acuerdo con la legislación de divulgación de vulnerabilidades de China, X-Ops evalúa con alta confianza que los exploits desarrollados luego fueron compartidos con múltiples grupos de primera línea patrocinados por el estado con diferentes objetivos, capacidades y herramientas posteriores a la explotación.
Francisco Carrasco M.
Durante el período analizado, Sophos identificó tres comportamientos clave en evolución de los atacantes:
- Un cambio de enfoque de ataques indiscriminados, ruidosos y generalizados (que la empresa ha concluido fueron intentos fallidos de construir cajas de retransmisión operativas -ORB- para ayudar en futuros ataques dirigidos) a operaciones más sigilosas contra objetivos específicos de infraestructura crítica y de alto valor ubicados principalmente en la India. Las víctimas incluyen proveedores y reguladores de energía nuclear, militares, telecomunicaciones, agencias de seguridad estatales y el gobierno central.
- Evolución en capacidad de sigilo y persistencia. Los TTP recientes incluyen la inserción de clases Java con puerta trasera, troyanos de solo memoria, un rootkit grande y no revelado anteriormente (con opciones de diseño y artefactos indicativos de capacidad multiplataforma y de múltiples proveedores) y una de las primeras versiones experimentales de un kit de arranque UEFI. X-Ops cree que este es el primer caso observado de uso de bootkit específicamente en un firewall.
- Mejoras de los actores de amenazas, que incluyen sabotear la recopilación de telemetría del firewall, afectar la capacidad de detección y respuesta y obstaculizar la investigación de Inteligencia de Fuerzas Abiertas, a través de una huella digital reducida.
Tras cinco años de una investigación que continúa, Sophos X-Ops concluye que los actores de amenazas han llevado a cabo estos ataques de forma persistente. Los adversarios parecen contar con buenos recursos, ser pacientes, creativos e inusualmente conocedores de la arquitectura interna del firmware del dispositivo.
Francisco Carrasco M.
Los ataques destacados en esta investigación demuestran un nivel de compromiso con la actividad maliciosa que rara vez Sophos X-Ops ha visto en los casi 40 años de existencia de Sophos como empresa.
