Investigadores descubren sofisticada operación global de hacking por parte de hackers chino

Un grupo de hackers chino utilizó simultáneamente seis puertas traseras diferentes contra más de una docena de plantas industriales, institutos de investigación, agencias gubernamentales y ministerios en Bielorrusia, Rusia, Ucrania y Afganistán, dijeron el lunes investigadores de Kaspersky.

A través de correos electrónicos de phishing cuidadosamente elaborados, incluidos algunos que hacían referencia a información relevante para la organización víctima que aún no era pública, el grupo logró “penetrar en docenas de empresas e incluso secuestrar la infraestructura de TI de algunas, tomando el control de los sistemas utilizados para administrar soluciones de seguridad, ” , dijeron los investigadores.

La vulnerabilidad explotada en el ataque, descubierta por primera vez en enero de 2022, permitió a los atacantes ejecutar código sin ninguna actividad adicional del usuario, dijeron los investigadores. En un caso, dijeron, los atacantes obtuvieron el control de un centro de control de soluciones de ciberseguridad sin nombre, que les dio acceso generalizado y persistencia en la red.

Un chino rastreado como TA428 por múltiples empresas de ciberseguridad  es el probable culpable, dijeron los investigadores de Kaspersky el lunes, en base a varios indicadores técnicos y superposiciones con operaciones anteriores, incluida una que apuntó a un contratista de defensa con sede en Rusia con vínculos con la Armada rusa.

“El phishing selectivo sigue siendo una de las amenazas más relevantes para las empresas industriales y las instituciones públicas”, dijeron los investigadores. “Los atacantes utilizaron principalmente malware de puerta trasera conocido, así como técnicas estándar para el movimiento lateral y la evasión de la solución antivirus. Al mismo tiempo, pudieron penetrar en docenas de empresas e incluso tomar el control de toda la infraestructura de TI y las soluciones de seguridad de TI de algunas de las organizaciones atacadas”.

Los hackers chinos  han estado ocupados apuntando a entidades rusas a raíz de la invasión rusa de Ucrania el 24 de febrero, principalmente buscando inteligencia sobre el pensamiento o la planificación del gobierno ruso, dijeron los investigadores.

Las campañas también han incluido operaciones de información dirigidas a audiencias nacionales e internacionales que han impulsado las narrativas de desinformación rusas, un reflejo de las tareas complicadas y variadas de los grupos de hackers chinos.