Porta del darrere de GhostSpider

El Mezo el Amenaça persistent avançada (APT), Portes del darrere, Programari maliciós

Traduir a:

Un grup sofisticat d'espionatge cibernètic vinculat a la Xina conegut com a Earth Estries s'ha dirigit a entitats governamentals i de telecomunicacions del sud-est asiàtic i més enllà. El grup ha emprat una varietat de tècniques avançades per infiltrar-se en indústries crítiques, inclòs l'ús d'una porta del darrere no documentada anomenada GhostSpider. També s'ha observat que aquest actor d'amenaça explota diverses vulnerabilitats per obtenir accés no autoritzat als seus objectius, revelant la creixent sofisticació de les capacitats cibernètiques de la Xina.

Taula de continguts

GhostSpider: The Undocumented Backdoor

GhostSpider, una nova incorporació a l'arsenal de Earth Estries, s'ha utilitzat com a mètode principal per infiltrar-se a les xarxes. Aquesta porta del darrere està molt orientada, dissenyada específicament per explotar les debilitats de la infraestructura de les empreses de telecomunicacions del sud-est asiàtic. L'Earth Estries utilitza aquesta eina juntament amb el MASOL RAT (també conegut com a Backdr-NQ), una altra porta del darrere, per orientar-se tant a sistemes Linux com a xarxes governamentals. L'estratègia del grup d'utilitzar programari maliciós fet a mida garanteix una presència persistent a les xarxes compromeses, permetent el ciberespionatge a llarg termini.

Un abast global: orientació a múltiples sectors

The Earth Estries ha fet avenços significatius en comprometre una àmplia gamma de sectors, com ara telecomunicacions, tecnologia, consultoria, transport, indústries químiques i organitzacions governamentals. Les operacions del grup abasten més de 20 víctimes en més d'una dotzena de països, inclosos l'Afganistan, el Brasil, l'Índia, Indonèsia, Malàisia, Sud-àfrica, els EUA i Vietnam. Aquesta àmplia orientació subratlla la capacitat i l'ambició del grup, amb aproximadament 150 víctimes afectades per les seves activitats, especialment al govern dels EUA i al sector privat.

Les eines de la Terra Estries

Entre les moltes eines a disposició de The Earth Estries, destaquen el rootkit Demodex i Deed RAT (també conegut com SNAPPYBEE). Aquestes eines, juntament amb altres com Crowdoor i TrillClient, són integrants de les operacions del grup. Es creu que ShadowPad, una família de programari maliciós àmpliament utilitzat pels grups APT xinesos, va influir en el desenvolupament de Deed RAT, un probable successor. Aquestes portes posteriors avançades i robatoris d'informació permeten que The Earth Estries romangui ocult mentre s'exfiltra informació sensible dels seus objectius.

Explotació de vulnerabilitats per a l'accés inicial

Per accedir als seus objectius, Earth Estries depèn en gran mesura de les vulnerabilitats N-day, que són defectes del programari que s'han revelat públicament però que els usuaris encara no han corregit. Algunes de les vulnerabilitats més explotades inclouen les d'Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall i Microsoft Exchange Server. Un cop s'exploten aquestes vulnerabilitats, Earth Estries desplega el seu programari maliciós personalitzat, incorporant-se encara més a la xarxa compromesa per a la vigilància i la recollida de dades a llarg termini.

Un grup complex i ben organitzat

The Earth Estries funciona amb un enfocament altament estructurat i organitzat. A partir de l'anàlisi de diverses campanyes, sembla que diferents equips del grup són responsables d'orientar-se a regions i indústries específiques. La infraestructura de comandament i control (C2) del grup també està descentralitzada, amb equips diferents que gestionen diferents operacions de la porta posterior. Aquesta segmentació permet una sèrie d'atacs més complexa i coordinada en diversos sectors.

GhostSpider: un implant multimòdul

Al cor de les operacions de Earth Estries hi ha l'implant GhostSpider. Aquesta eina sofisticada es comunica amb una infraestructura controlada per un atacant mitjançant un protocol personalitzat assegurat per Transport Layer Security (TLS). L'implant pot recuperar mòduls addicionals segons sigui necessari, ampliant la seva funcionalitat. La seva flexibilitat el converteix en una eina poderosa per al ciberespionatge a llarg termini, que permet que Earth Estries s'adapti i evolucioni les seves operacions a mesura que la situació ho requereixi.

Tàctiques de sigil i d'evasió

L'Earth Estries utilitza una varietat de tècniques de sigil per evitar la detecció. El grup inicia els seus atacs als dispositius perifèrics, estenent gradualment el seu abast als entorns de núvol, dificultant la detecció de la seva presència. En mantenir un perfil baix i amagar-se darrere de capes d'infraestructura, Earth Estries garanteix que les seves activitats no es detectin durant períodes prolongats, permetent una recollida de dades ininterrompuda.

Les empreses de telecomunicacions: un objectiu freqüent

Les empreses de telecomunicacions han estat durant molt de temps un objectiu principal per als grups d'amenaça cibernètica vinculats a la Xina, amb els Earth Estries unint-se a les files d'altres com Granite Typhoon i Liminal Panda. Aquests atacs revelen l'augment de la maduració del programa cibernètic de la Xina, que ha passat de vagues puntuals a la recollida de dades massiva i campanyes sostingudes dirigides a proveïdors de serveis crítics. L'enfocament de Earth Estries en els proveïdors de serveis gestionats (MSP), els proveïdors de serveis d'Internet (ISP) i els proveïdors de plataformes indica un canvi en l'estratègia de la Xina per obtenir accés continu a les xarxes de comunicacions globals.

Conclusió: una amenaça creixent de ciberespionatge

A mesura que Earth Estries continua ampliant les seves operacions, destaca les capacitats creixents dels grups d'espionatge cibernètic vinculats a la Xina. L'ús de programari maliciós sofisticat, combinat amb un enfocament en els sectors d'infraestructures crítiques, demostra una amenaça ben organitzada i en evolució. Per a les organitzacions de les regions afectades, la necessitat d'augmentar la vigilància i de mesures sòlides de ciberseguretat mai ha estat més crítica.