Lo que sabemos sobre la piratería de los sistemas de la Armada de China

“Microsoft evalúa con confianza moderada de que esta campaña de tifones voltios está buscando el desarrollo de capacidades que podrían interrumpir la infraestructura de comunicaciones críticas entre los Estados Unidos y la región de Asia durante las futuras crisis”, escribió Microsoft en su declaración.

Los piratas informáticos estatales chinos están infectando enrutadores TP-Link con firmware personalizado y malicioso

Los actores de ATP están explotando enrutadores de hogar / Soho para ataques encubiertos

Por Alfonso Maruccia 17 de mayo de 2023, 13:02 9 Comentarios

TechSpot está celebrando su 25 aniversario. TechSpot significa análisis y consejos tecnológicos en el que puede confiar.

Lo que acaba de suceder? Un grupo patrocinado por los chinos está liderando un nuevo ataque cibernético sofisticado contra objetivos europeos sensibles, y los piratas informáticos están cubriendo efectivamente sus huellas al abusar de los enrutadores infectados que pertenecen a usuarios caseros ajenos. Los enrutadores son fabricados principalmente por TP-Link, pero la amenaza podría extenderse en otro lugar.

Los investigadores de Check Point han descubierto otra amenaza persistente avanzada (APT), operado por un grupo patrocinado por China identificado como “Camaro Dragon.”El ataque, que se superpone principalmente a actividades maliciosas previamente atribuidas a la tripulación del” Mustang Panda “, está diseñado para cubrir sus pistas detrás de los enrutadores TP-Link infectados por un componente complejo de malware.

El grupo Camaro Dragon se dirigió a organizaciones e individuos relacionados con asuntos exteriores europeos, explica Check Point, con una “superposición de infraestructura significativa” con el Grupo Mustang Panda. Durante su investigación, los investigadores descubrieron un implante de firmware malicioso diseñado para trabajar en enrutadores fabricados por TP-Link, con varios componentes que incluyen un trasero personalizado llamado “Concha de caballos.”

La puerta trasera tiene varias funciones principales, incluida un shell remoto para ejecutar comandos en el dispositivo infectado, transferencia de archivos para cargar y descargar, e intercambio de datos entre dos dispositivos infectados a través del protocolo SOCKS5. SOCKS5 se puede utilizar como una conexión TCP proxy a una dirección IP arbitraria, para el reenvío de paquetes UDP, y en última instancia para crear una cadena de dispositivos infectados para enmascarar el origen y el destino de una conexión encriptada.

Gracias a este firmware malicioso, los piratas informáticos de Camaro Dragon pueden enmascarar efectivamente su centro de comando y control real mediante el tratamiento de dispositivos domésticos infectados como un medio para una meta. Check Point dice que, mientras se encontró el caparazón de caballo en la infraestructura de ataque, las verdaderas víctimas del implante del enrutador aún se desconocen.

Los investigadores ni siquiera saben cómo los atacantes lograron infectar a los enrutadores con el firmware malicioso, aunque probablemente escanearon a toda Internet por vulnerabilidades conocidas o credenciales de inicio de sesión débiles / predeterminadas. Además, a pesar de estar diseñado para atacar los enrutadores TP-Link, los componentes tienen una naturaleza “agnóstica” y podrían reutilizarse por atacar una gama más amplia de dispositivos y fabricantes.

Check Point Research dice que el descubrimiento del implante de Camaro Dragon para los enrutadores TP-Link destaca la importancia de tomar medidas de protección contra ataques similares. La compañía de seguridad tiene algunas recomendaciones para detectar y proteger contra instalaciones de firmware maliciosas, incluida la instalación regular de actualizaciones de software para enrutadores de inicio/SOHO, cambiando las credenciales predeterminadas de cualquier dispositivo conectado a Internet y el uso de contraseñas más fuertes y autenticación multifactor siempre que sea posible.

Lo que sabemos sobre la piratería de los sistemas de la Armada de China

Los piratas informáticos estaban “persiguiendo el desarrollo de capacidades que podrían interrumpir las comunicaciones críticas entre los Estados Unidos y Asia” en una crisis.

Por Nicholas Slayton | Publicado el 28 de mayo de 2023 5:23 PM EDT

Los piratas informáticos respaldados por chinos violaron la infraestructura estadounidense, incluidos los sistemas tecnológicos que pertenecen a la U.S. Armada, los funcionarios del gobierno confirmaron la semana pasada.

La compañía de tecnología Microsoft informó por primera vez sobre el hack, identificando el grupo y las técnicas utilizadas para lograrlo. La operación tenía como objetivo obtener acceso a sistemas de comunicaciones en los Estados Unidos y u.S. Infraestructura de la Marina en Guam. La isla es el hogar de varias instalaciones militares, incluido un gran contingente de bombarderos B-52 y u.S. Submarinos de la marina.

En respuesta, los Estados Unidos y los aliados publicaron un informe sobre cómo detectar y proteger contra tales intrusiones.

Suscríbase a Tarea y Propósito hoy. Obtenga las últimas noticias y cultura militar en su bandeja de entrada diariamente.

Quien esta detrás de esto?

Microsoft Corp. Informó por primera vez el aparente hack el miércoles 24 de mayo. Identificó a los perpetradores con “confianza moderada” como tifón Volt, un “actor patrocinado por el estado con sede en China que generalmente se centra en el espionaje y la recopilación de información.”El grupo ha estado activo desde al menos 2021.

Este truco específico de Typhoon Volt utilizando credenciales legítimas para obtener acceso a los sistemas, entrar y luego usar enrutadores de pequeña oficina para disfrazar de dónde proviene la intrusión. Los expertos en ciberseguridad llaman a este enfoque “Vivir fuera de la tierra.”Obtuvieron el acceso inicial apuntando a dispositivos de ciberseguridad de Fortinet, aprovechando una falla en el sistema para obtener credenciales.

El gobierno chino ha negado las acusaciones, llamándolos una “campaña de desinformación colectiva” por los países que constituyen la organización Five Eyes Intelligence Sharing, Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda.

Lo que se vio afectado?

El alcance total del truco no está claro, pero la infraestructura dirigida a “abarca las comunicaciones, fabricación, servicios públicos, transporte, construcción, marítimo, gobierno, tecnología de la información y sectores educativos”, dijo Microsoft.

“Microsoft evalúa con confianza moderada de que esta campaña de tifones voltios está buscando el desarrollo de capacidades que podrían interrumpir la infraestructura de comunicaciones críticas entre los Estados Unidos y la región de Asia durante las futuras crisis”, escribió Microsoft en su declaración.

El Secretario de la Marina, Carlos del Toro, dijo el jueves 25 de mayo que la Marina “ha sido impactada” por los piratas informáticos, pero no especificó qué áreas estaban dirigidas o qué significa para la preparación operativa de la Marina. Sin embargo, dijo que “no era una sorpresa” que China iniciara un ataque cibernético así.

Los activos militares de Guam y su ubicación en el Pacífico lo convierten en una parte importante de la U.S. La estrategia militar en la región, incluidas las posibles amenazas de China, tanto para la U.S. y a Taiwán.

Este no es el primer ciberataque de respaldo chino en afectar la U.S. Armada. En 2018, los piratas informáticos obtuvieron acceso a la computadora de un contratista de la Marina, que tenía archivos en planes de guerra submarina, incluidos nuevos misiles.

Que se está haciendo?

Microsoft dijo que había contactado a todos los grupos afectados por el hack.

En respuesta a las noticias, las agencias de ciberseguridad de las naciones miembros de los cinco ojos emitieron un aviso conjunto sobre el hack y cómo detectar las similares. El nuevo informe identifica varios pasos que los gobiernos pueden tomar para evitar intrusiones de estilo de “vivir fuera de la tierra”.

“Durante años, China ha realizado operaciones cibernéticas agresivas para robar propiedad intelectual y datos confidenciales de organizaciones de todo el mundo”, dijo Jen Easterly, directora de la Agencia de Seguridad de Ciberseguridad e Infraestructura en un comunicado. “El asesoramiento de hoy en día destaca el uso continuo de los medios sofisticados de China para dirigirse a la infraestructura crítica de nuestra nación, y ofrece a los defensores de redes importantes sobre cómo detectar y mitigar esta actividad maliciosa.”

Lo último en tarea y propósito

• 7 actores de Hollywood que hicieron eloperadores de GWOT más realistasen la pantalla
• Cómo la vacuna Covid-19 de un marine se negó a113 días en el bergantín
• Rusia perdió un misil hipersónicotratando de destruir uno de los misiles patriotas de Ucrania
• Fuerza AereaF-15 toma un baño accidentalen el canal de drenaje después del aterrizaje fallido
• Comandante de batallón de Fort Cavazosdespedido por mala conducta