El grupo de amenazas persistentes avanzadas (APT) Winnti llevó a cabo una campaña de hacking de ciberespionaje «sofisticada y elusiva» dirigida a información privada confidencial de empresas de tecnología y fabricación, en una operación que pasó desapercibida durante años, dijo uno de los informes.
La investigación realizada por la firma de ciberseguridad Cybereason reveló que la campaña de Winnti, denominada Operation CuckooBees, se desarrolló al menos desde 2019 hasta 2021 y el grupo APT, afiliado al estado chino, apuntó a empresas en el este de Asia, Europa occidental y América del Norte.
Cybereason ha publicado un informe de dos partes sobre la campaña, en la primera parte se examinan las tácticas y técnicas de Winnti y en la segunda parte se proporciona un análisis más profundo del malware y los exploits utilizados.
Dijo que Winnti primero se afianzó en los sistemas corporativos a través de vulnerabilidades en una popular plataforma de planificación de recursos empresariales (ERP) sin nombre, y los atacantes luego usaron un shell web para realizar el reconocimiento y el volcado de credenciales, lo que les permitió el movimiento lateral a través de la red.
«Después de años de reconocimiento encubierto e identificación de datos valiosos, se estima que el grupo extrajo cientos de gigabytes de información», dijo Cybereason en una publicación de blog. “Los atacantes se dirigieron a la propiedad intelectual desarrollada por las víctimas, incluidos documentos confidenciales, planos, diagramas, fórmulas y datos de propiedad relacionados con la fabricación.
«Además, los atacantes recopilaron información que podría usarse para futuros ataques cibernéticos, como detalles sobre las unidades comerciales de la empresa objetivo, la arquitectura de la red, las cuentas y credenciales de los usuarios, los correos electrónicos de los empleados y los detalles de los clientes».
El Grupo Winnti, también conocido como APT41, Blackfly y BARIUM, ha estado activo desde 2010 y, según Cybereason, ha podido desviar grandes cantidades de datos corporativos y propiedad intelectual utilizando malware previamente no documentado.
Este malware contenía rootkits a nivel de kernel firmados digitalmente y una sofisticada cadena de infección de múltiples etapas que, si bien tenía una probabilidad mucho mayor de colapsar debido a la interdependencia de cada componente, agregó «un nivel adicional de seguridad y sigilo» que permitió que esta operación tenga permaneció sin ser detectado desde al menos 2019.
La nueva cepa de malware descubierta por Cybereason se llama DEPLOYLOG y se usó junto con versiones más nuevas del malware Winnti ya conocido, incluidos Spyder Loader, PRIVATELOG y WINNKIT.
Cybereason dijo que un abuso rara vez visto del mecanismo del Sistema de archivos de registro comunes de Windows (CLFS), así como la manipulación de Winnti del Sistema de archivos de nueva tecnología (NTFS) de Microsoft, también ayudaron al grupo APT a ocultar sus cargas útiles y exponerse a la detección por parte de la seguridad tradicional. los productos se escapan.
«CLFS utiliza un formato de archivo patentado que no está documentado y solo se puede acceder a través de las funciones de la API de CLFS», dijo. “En el momento de redactar este informe, no existe ninguna herramienta que pueda analizar los registros vaciados. Este es un gran beneficio para los atacantes, ya que los hace más difíciles de inspeccionar y detectar cuando se usa el mecanismo CLFS”.
Debido a la complejidad, el sigilo y la sofisticación de los ataques, es difícil estimar el número exacto de empresas afectadas por la Operación CuckooBees, dijo Cybereason. “Ha habido múltiples informes y el Departamento de Justicia de EE. UU. a lo largo de los años [DoJ] Cargos que vinculan a Winnti con operaciones de robo de propiedad intelectual a gran escala. Los investigadores de Cybereason creen que docenas de otras empresas pueden haber sido afectadas por esta u otras campañas similares dirigidas por Winnti», dijo.
“El ciberespionaje no suele generar el mismo nivel de pánico o atención de los medios que otros ciberataques, pero la falta de atención no lo hace menos peligroso. Una campaña maliciosa que roba silenciosamente propiedad intelectual durante años es excepcionalmente costosa y puede tener repercusiones en los años venideros”.
En septiembre de 2020, el Departamento de Justicia acusó a cinco ciudadanos chinos y dos de Malasia en relación con los ataques de Winnti dirigidos a más de 100 organizaciones en todo el mundo.
Los ataques se dirigieron a desarrolladores de software y fabricantes de hardware informático, empresas de telecomunicaciones, plataformas de redes sociales, empresas de videojuegos, organizaciones sin fines de lucro, universidades, grupos de expertos y agencias gubernamentales, y miembros del movimiento prodemocrático de Hong Kong. Se cree que las agencias del gobierno británico fueron atacadas, pero no comprometidas con éxito, durante la campaña.
El Departamento de Justicia dijo que las intrusiones de Winnti también permitieron otras actividades delictivas, incluido el uso de ransomware contra objetivos y criptominería ilegal. Los cargos contra el grupo incluyen conspiración, fraude electrónico, robo de identidad agravado, lavado de dinero y violaciones de la Ley de Abuso y Fraude Informático.