Agencias de EE. UU. descubren malware chino avanzado

Resumen ejecutivo

En una importante alerta de ciberseguridad, la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE. UU. (CISA), junto con la NSA y el Centro Canadiense de Ciberseguridad, detallaron una sofisticada campaña de espionaje llevada a cabo por actores de amenazas de la República Popular China (RPC). La operación aprovecha un malware de puerta trasera personalizado llamado BRICKSTORM para establecer acceso a largo plazo y persistente a redes sensibles del gobierno y la tecnología de la información de EE. UU. El malware está diseñado para ser sigiloso y se ha observado que permanece sin ser detectado en sistemas comprometidos durante más de 18 meses, lo que permite un movimiento lateral extenso y la exfiltración de datos.

El evento en detalle

El núcleo de la campaña es el malware BRICKSTORM, una puerta trasera escrita en el lenguaje de programación Go que apunta a entornos VMware vSphere y Windows. Su función principal es proporcionar a los atacantes acceso interactivo a la shell, capacidades de manipulación de archivos y un canal de comando y control (C2) que imita el tráfico web normal para evitar la detección. El malware utiliza técnicas avanzadas, incluido DNS-over-HTTPS (DoH) para ocultar las comunicaciones y una interfaz de socket virtual (VSOCK) para facilitar la comunicación entre máquinas virtuales (VM), lo que le permite pivotar entre sistemas invitados y anfitriones.

Según el análisis de CISA, la cadena de ataque generalmente comienza con la explotación de vulnerabilidades conocidas en dispositivos con conexión a internet, como Ivanti Connect Secure. Una vez que se obtiene el acceso inicial, los actores implementan un webshell y se mueven lateralmente por la red. Un objetivo clave es comprometer el servidor VMware vCenter, que proporciona una gestión centralizada del entorno virtualizado. A partir de ahí, se ha observado que los atacantes roban bases de datos de Active Directory, exfiltran claves criptográficas de los servidores ADFS y recopilan credenciales para las cuentas de proveedores de servicios gestionados (MSP), lo que representa una amenaza crítica para la cadena de suministro.

Implicaciones para el mercado

La divulgación de la campaña BRICKSTORM tiene implicaciones inmediatas para el mercado de la ciberseguridad y las empresas que dependen de la tecnología de virtualización. El objetivo específico de la infraestructura de VMware ejerce una presión directa sobre la empresa y sus clientes para que se aseguren de que los sistemas estén parcheados y reforzados contra tales ataques. La dependencia de la explotación de vulnerabilidades conocidas pero sin parches subraya la importancia crítica de una gestión diligente de los parches para los dispositivos de borde de red de proveedores como Ivanti y F5.

La estrategia de comprometer cuentas de MSP y utilizar ese acceso para pivotar a las redes de los clientes destaca un riesgo sistémico en la cadena de suministro. Es probable que los inversores y los consejos de administración de las empresas aumenten el escrutinio sobre las posturas de seguridad de terceros. Además, la exfiltración exitosa de datos de entornos de nube, incluidos Microsoft Azure, SharePoint y OneDrive, demuestra que incluso las implementaciones de nube sofisticadas son vulnerables si los controles de identidad y acceso se ven comprometidos.

Comentario de expertos

Investigadores de seguridad de Google Mandiant y CrowdStrike, que rastrean los clústeres de actividad como UNC5221 y Warp Panda respectivamente, corroboraron los hallazgos de CISA. CrowdStrike señaló que Warp Panda "exhibe un alto nivel de sofisticación técnica, habilidades avanzadas de seguridad de operaciones (OPSEC) y un amplio conocimiento de los entornos de nube y VM". El objetivo del grupo se describe como mantener "acceso persistente, a largo plazo y encubierto a las redes comprometidas, probablemente para apoyar los esfuerzos de recopilación de inteligencia".

En respuesta a las acusaciones, un portavoz de la embajada china en Washington emitió un comunicado a Reuters, rechazando las acusaciones y afirmando que el gobierno chino no "alienta, apoya ni se confabula con los ataques cibernéticos".

Contexto más amplio

Esta campaña patrocinada por el estado encaja en un patrón más amplio de escalada de tensiones geopolíticas que se manifiestan en el ciberespacio. Sirve como un ejemplo basado en datos de cómo los estados nacionales aprovechan herramientas avanzadas para atacar infraestructuras críticas con fines de recopilación de inteligencia. La metodología de vivir de la tierra, utilizando credenciales legítimas y mezclándose con el tráfico de red normal, dificulta la detección sin capacidades avanzadas de búsqueda de amenazas. Este incidente, combinado con otras debilidades de seguridad, como la reciente sentencia de un hombre de Maryland por ayudar a agentes norcoreanos a infiltrarse en empresas tecnológicas estadounidenses, pinta un panorama sombrío del desafío de ciberseguridad multifrente que enfrentan tanto el sector público como el privado en los Estados Unidos.