Un ciberatac de 4 mesos a una empresa nord-americana exposa una amenaça avançada vinculada als pirates informàtics xinesos
Un ciberatac descobert recentment ha posat a la llum una operació molt sofisticada dirigida a una important organització nord-americana, amb proves que apunten a pirates informàtics de la Xina patrocinats per l'estat. Aquesta alarmant intrusió, detallada en un informe de Symantec, propietat de Broadcom, va durar almenys quatre mesos aquest any, a partir d'abril i potencialment abans. L'abast i els mètodes de l'atac subratllen les estratègies en evolució dels adversaris cibernètics i els riscos als quals s'enfronten les organitzacions crítiques a tot el món.
Taula de continguts
Les tàctiques i les eines sofisticades destaquen les amenaces avançades
Symantec va identificar per primera vegada els signes de la violació l'11 d'abril de 2024 i va trobar que l'atac va persistir fins a l'agost. Durant aquest temps, els atacants es van moure lateralment per la xarxa de la víctima, comprometent nombroses màquines. Alguns dels sistemes dirigits eren els servidors de Microsoft Exchange, un moviment que suggereix que els atacants van intentar recollir informació accedint a dades de correu electrònic sensibles.
Les eines d'exfiltració desplegades durant la campanya confirmen a més que es va extreure informació valuosa de la infraestructura de la víctima. Els pirates informàtics van utilitzar una combinació d'eines de codi obert i utilitats integrades de Windows per afavorir el seu atac. Eines com FileZilla, Impacket i PSCP es van implementar juntament amb tècniques de vida fora de la terra, aprofitant Windows Management Instrumentation (WMI), PsExec i PowerShell per executar ordres malicioses i combinar-se amb l'activitat legítima de la xarxa.
El paper de la Xina i l'ús de tècniques d'espionatge cibernètic
Tot i que no s'ha revelat el nom de l'organització objectiu, les seves importants operacions a la Xina afegeixen pes a les sospites que els atacants estaven vinculats a grups patrocinats per l'estat xinès. El ciberatac es va basar en gran mesura en la càrrega lateral de DLL, una tàctica distintiva dels equips de pirateria xinesa. Els artefactes de la bretxa s'alineen amb els observats a "Crimson Palace", una operació prèvia recolzada per l'estat. A més, aquesta organització havia estat atacada anteriorment el 2023 per un grup conegut com Daggerfly, també conegut com Bronze Highland, Evasive Panda i StormBamboo.
Implicacions més àmplies per a la ciberseguretat
Aquesta incompliment reflecteix tendències més àmplies dins de l'ecosistema ofensiu cibernètic de la Xina, que Orange Cyberdefense ha analitzat amb detall. Les operacions patrocinades per l'estat xinesos sovint difuminen les línies entre entitats públiques i privades, aprofitant les universitats per a la investigació avançada i emprant contractistes per executar atacs. Les empreses falses solen ser establertes per persones connectades a unitats militars o d'intel·ligència xineses per ocultar l'atribució, adquirir infraestructura digital i reclutar pirates informàtics sense aixecar sospita.
Aquestes troballes emfatitzen la naturalesa persistent i avançada de les operacions cibernètiques xineses. La campanya dirigida a aquesta empresa nord-americana serveix com a recordatori contundent del panorama d'amenaces en evolució i de la importància de les defenses de ciberseguretat sòlides per protegir els actius crítics dels adversaris dels estats-nació.