Activo en docenas de hacks avanzados desde 2009, Billbug sigue siendo fuerte.
Hackers de estados nacionales con sede en China infectaron recientemente una autoridad de certificación y varias agencias gubernamentales y de defensa con un potente cóctel de malware para infiltrarse en una red y robar información confidencial, dijeron investigadores el martes.
El compromiso exitoso de la autoridad de certificación sin nombre es potencialmente grave, porque los navegadores y los sistemas operativos confían en estas entidades para certificar las identidades responsables de un servidor o aplicación en particular. En caso de que los hackers obtuvieran el control de la infraestructura de la organización podrían usarlo para firmar digitalmente su malware para que pase más fácilmente las protecciones de puntos finales. También podrían suplantar criptográficamente sitios web de confianza o interceptar datos cifrados.
Si bien los investigadores que descubrieron la brecha no encontraron evidencia de que la infraestructura de certificados se haya visto comprometida, dijeron que esta campaña era solo la última de un grupo al que llaman Billbug, que tiene un historial documentado de hacks notables que se remonta al menos a 2009.
“La capacidad de este actor para comprometer a múltiples víctimas a la vez indica que este grupo de amenazas sigue siendo un operador hábil y con buenos recursos que es capaz de llevar a cabo campañas sostenidas y de gran alcance”, escribieron los investigadores de Symantec . “Billbug tampoco parece inmutarse por la posibilidad de que se le atribuya esta actividad, con la reutilización de herramientas que se han vinculado al grupo en el pasado”.
Symantec documentó a Billbug por primera vez en 2018, cuando los investigadores de la compañía rastrearon al grupo bajo el nombre de Thrip. El grupo hackeo múltiples objetivos, incluido un operador de comunicaciones por satélite, una empresa de mapeo e imágenes geoespaciales, tres operadores de telecomunicaciones diferentes y un contratista de defensa. De particular preocupación fue el ataque al operador satelital porque los atacantes “parecían estar particularmente interesados en el lado operativo de la empresa, buscando e infectando computadoras que ejecutan software que monitorea y controla los satélites”. Los investigadores especularon que la motivación de los hackers puede haber ido más allá del espionaje para incluir también la interrupción.
Los investigadores finalmente rastrearon la actividad de hackeo a computadoras ubicadas físicamente en China. Además del sudeste asiático, los objetivos también se ubicaron en los EE. UU.
Un poco más de un año después , Symantec recopiló nueva información que permitió a los investigadores determinar que Thrip era efectivamente lo mismo que un grupo existente más antiguo conocido como Billbug o Lotus Blossom. En los 15 meses transcurridos desde el primer artículo, Billbug había hackeado con éxito 12 organizaciones en Hong Kong, Macao, Indonesia, Malasia, Filipinas y Vietnam. Las víctimas incluyeron objetivos militares, comunicaciones marítimas y sectores de medios y educación.
Billbug usó una combinación de software legítimo y malware personalizado para infiltrarse en las redes de sus víctimas. El uso de software legítimo como PsExec, PowerShell, Mimikatz, WinSCP y LogMeIn permitió que las actividades de hacking se combinaran con las operaciones normales en los entornos comprometidos. Los hackers también utilizaron el ladrón de información personalizado Catchamas y las puertas traseras denominadas Hannotog y Sagerunex.
En la campaña más reciente dirigida a la autoridad certificadora y otras organizaciones, Billbug volvió con Hannotog y Sagerunex, pero también utilizó una gran cantidad de software nuevo y legítimo, incluidos AdFind, Winmail, WinRAR, Ping, Tracert, Route, NBTscan, Certutil y Escáner de puertos.
La publicación del martes incluye una serie de detalles técnicos que las personas pueden usar para determinar si han sido atacados por Billbug. Symantec es el brazo de seguridad de Broadcom Software.
Fuente: https://arstechnica.com/information-technology/2022/11/state-sponsored-hackers-in-china-compromise-certificate-authority/
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad