Durante más de cinco años, Sophos ha estado investigando múltiples grupos con sede en China que atacan los firewalls con botnets, exploits novedosos y malware personalizado.
Con la ayuda de otros proveedores de ciberseguridad, gobiernos y agencias de aplicación de la ley, la compañía ha podido, con distintos niveles de confianza, atribuir grupos específicos de actividad observada a Volt Typhoon, APT31 y APT41/Winnti.
De esa manera, Sophos X-Ops logró explotar la actividad de investigación y desarrollo que se lleva a cabo en la región de Sichuan. De acuerdo con la legislación de divulgación de vulnerabilidades de China, X-Ops evalúa con alta confianza que los exploits desarrollados luego fueron compartidos con múltiples grupos de primera línea patrocinados por el estado con diferentes objetivos, capacidades y herramientas posteriores a la explotación.
Tres comportamientos clave en la evolución de los atacantes
Durante el período analizado, Sophos identificó tres comportamientos clave en evolución de los atacantes:
- Un cambio de enfoque de ataques indiscriminados, ruidosos y generalizados (que la empresa ha concluido fueron intentos fallidos de construir cajas de retransmisión operativas -ORB- para ayudar en futuros ataques dirigidos) a operaciones más sigilosas contra objetivos específicos de infraestructura crítica y de alto valor ubicados principalmente en la India. Las víctimas incluyen proveedores y reguladores de energía nuclear, militares, telecomunicaciones, agencias de seguridad estatales y el gobierno central.
- Evolución en capacidad de sigilo y persistencia. Los TTP recientes incluyen la inserción de clases Java con puerta trasera, troyanos de solo memoria, un rootkit grande y no revelado anteriormente (con opciones de diseño y artefactos indicativos de capacidad multiplataforma y de múltiples proveedores) y una de las primeras versiones experimentales de un kit de arranque UEFI. X-Ops cree que este es el primer caso observado de uso de bootkit específicamente en un firewall.
- Mejoras de los actores de amenazas, que incluyen sabotear la recopilación de telemetría del firewall, afectar la capacidad de detección y respuesta y obstaculizar la investigación de Inteligencia de Fuerzas Abiertas, a través de una huella digital reducida.
Tras cinco años de una investigación que continúa, Sophos X-Ops concluye que los actores de amenazas han llevado a cabo estos ataques de forma persistente. Los adversarios parecen contar con buenos recursos, ser pacientes, creativos e inusualmente conocedores de la arquitectura interna del firmware del dispositivo. Los ataques destacados en esta investigación demuestran un nivel de compromiso con la actividad maliciosa que rara vez Sophos X-Ops ha visto en los casi 40 años de existencia de Sophos como empresa.
