Las organizaciones de telecomunicaciones en el sudeste asiático han sido atacadas por un actor de amenaza patrocinado por el estado conocido como CL-969 Para facilitar el control remoto sobre las redes comprometidas.
Palo Alto Networks Unit 42 dijo que observó múltiples incidentes en la región, incluido uno dirigido a la infraestructura crítica de telecomunicaciones entre febrero y noviembre de 2024.
Los ataques se caracterizan por el uso de varias herramientas para habilitar el acceso remoto, así como la implementación de CordScan, que puede recopilar datos de ubicación de dispositivos móviles.
Sin embargo, la compañía de ciberseguridad dijo que no encontró evidencia de exfiltración de datos de las redes y sistemas que investigó. Los atacantes tampoco hicieron esfuerzos para rastrear o comunicarse con dispositivos objetivo dentro de las redes móviles.
«El actor de amenaza detrás de CL-STA-0969 mantuvo una alta seguridad operativa (OPSEC) y empleó varias técnicas de evasión de defensa para evitar la detección», dijeron los investigadores de seguridad Renzon Cruz, Nicolas Bareil y Navin Thomas.
CL-STA-0969, por unidad 42, comparte superposiciones significativas con un grupo rastreado por crowdstrike bajo el nombre de Panda Liminal, un grupo de espionaje de China-Nexus que se ha atribuido a ataques dirigidos contra entidades de telecomunicaciones en Asia del Sur y África desde al menos 2020 con el objetivo de la reunión de inteligencia.
Vale la pena señalar que algunos aspectos de la artesanía de Liminal Panda se atribuyeron previamente a otro actor de amenaza llamado LightBasin (también conocido como UNC1945), que también ha señalado el sector de las telecomunicaciones desde 2016. Lightbasin, por su parte, se superpone a un tercer grupo denominado UNC2891, una Cantelera con motivación financiera conocida por sus ataques en Attater Machine (Atter (Machine (Machine (Machine (Machine de cajera) (Influte).
«Si bien este grupo se superpone significativamente con el panda liminal, también hemos observado superposiciones en las herramientas de atacantes con otros grupos informados y grupos de actividades, incluidos Light Basin, UNC3886, UNC2891 y UNC1945», señalaron los investigadores.
En al menos un caso, se cree que CL-STA-0969 empleó ataques de fuerza bruta contra los mecanismos de autenticación de SSH para el compromiso inicial, aprovechando el acceso a eliminar varios implantes como-
- Authdoorun módulo de autenticación de confuso malicioso (PAM) que funciona de manera similar a Slapstick (originalmente atribuido a UNC1945) para llevar al robo de credenciales y proporcionar un acceso persistente al host comprometido a través de una contraseña mágica codificada
- Cableuna utilidad de escaneo de red y captura de paquetes (previamente atribuido al panda liminal)
- Gtpdoorun malware diseñado explícitamente para ser implementado en redes de telecomunicaciones que están adyacentes a los intercambios de roaming GPRS
- EcoBackdooruna puerta trasera pasiva que escucha los paquetes de solicitudes de echo de echo ICMP que contienen instrucciones de comando y control (C2) para extraer el comando y enviar los resultados de la ejecución de regreso al servidor a través de un paquete de respuesta de echo de echo de ICMP no cifrado
- Sirviendo el emulador de nodo de soporte GPRS (SGSN) (SGSNemu)un software de emulación para el tráfico del túnel a través de la red de telecomunicaciones y las restricciones de firewall de omitir (previamente atribuido al panda liminal)
- Cronsratun binario ELF modular que es capaz de ejecución de shellcode, operaciones de archivo, keylogging, reenvío de puertos, shell remoto, captura de captura de pantalla y capacidades proxy
- Nodopdns (referido internamente como MyDNS), una puerta trasera de Golang que crea un enchufe en bruto y escucha pasivamente el tráfico UDP en el puerto 53 para analizar los comandos entrantes a través de mensajes DNS
«CL-STA-0969 aprovechó los diferentes scripts de shell que establecieron un túnel SSH inverso junto con otras funcionalidades», señalaron la Unidad 42 investigadores. «CL-STA-0969 borra sistemáticamente los registros y elimina los ejecutables cuando ya no son necesarios, para mantener un alto grado de OPSEC».
Además, a la cartera ya amplia de herramientas maliciosas que el actor de amenaza ha implementado son microsocks proxy, proxy inverso rápido (FRP), FSCAN, respondedor y proxychains, así como programas para explotar fallas en sistemas basados en Linux y Unix (CVE-2016-5195, CVE-2021-4034 y CVE-2021-3151-3156) a 3156) a 3156). escalada.
Además de usar una combinación de herramientas a medida y disponibles públicamente, se ha encontrado que los actores de amenaza adoptan una serie de estrategias para volar bajo el radar. Esto abarca el túnel DNS del tráfico, enrutando el tráfico a través de operadores móviles comprometidos, borrando registros de autenticación, deshabilitar Linux mejorado con seguridad (Selinux) y disfrazando los nombres de procesos con nombres convincentes que coinciden con el entorno de destino.
«CL-STA-0969 demuestra una comprensión profunda de los protocolos de telecomunicaciones e infraestructura», dijo la Unidad 42. «Su malware, herramientas y técnicas revelan un esfuerzo calculado para mantener un acceso persistente y sigiloso. Lo logró al proxyizar el tráfico a través de otros nodos de telecomunicaciones, túneles de datos utilizando protocolos menos escrutinizados y empleando diversas técnicas de evasión de defensa».
China acusa a las agencias estadounidenses de atacar instituciones militares e de investigación
La divulgación se produce cuando el Equipo Técnico de Respuesta a Emergencias de la Red Nacional de Computación/Centro de Coordinación de China (CNCERT) acusó a las agencias de inteligencia estadounidenses de armarse una exploit de día cero de Microsoft Exchange para robar información relacionada con la defensa y secuestrar a más de 50 dispositivos que pertenecen a una «empresa militar china principal» entre julio de 2022 y julio de 2023.
La agencia también dijo que las universidades relacionadas con los militares de alta tecnología, los institutos de investigación científica y las empresas en el país fueron atacadas como parte de estos ataques para desviar los valiosos datos de los anfitriones comprometidos. Entre los objetivo se encontraba una empresa militar china en los sectores de comunicaciones y satélite de Internet que fue atacado de julio a noviembre de 2024 al explotar vulnerabilidades en los sistemas electrónicos de archivos, alegó CNCERT.
El esfuerzo de atribución refleja las tácticas de Occidente, que ha culpado repetidamente a China por los principales ataques cibernéticos, contando la última explotación de día cero del servidor de Microsoft SharePoint.
Cuando se le preguntó el mes pasado sobre la piratería china en los sistemas de telecomunicaciones de EE. UU. Y el robo de propiedad intelectual en Fox News, el presidente de los Estados Unidos, Donald Trump, dijo: «¿No crees que les hagamos eso? Lo hacemos. Hacemos muchas cosas. Así es como funciona el mundo. Es un mundo desagradable».