Autor: Susana B. García para CIBERPRISMA
Desde hace casi una década, el gobierno de Estados Unidos ha denunciado insistentemente a China por el robo de propiedad intelectual de proyectos vinculados al sector de la industria de defensa. En la misma sintonía numerosas empresas de ciberseguridad y de inteligencia de amenazas (Threat Intelligence) han alertado o atribuido operaciones de robo de información estratégica en países asiáticos a grupos APT (Advanced Persistent Threat) vinculados al gobierno chino.
En esta oportunidad la empresa norteamericana Cybereason, con sede en Boston, es quien notifica el hallazgo de una operación de ciberespionaje, atribuida sin mayores certezas a grupos APT chinos, al principal diseñador de unidades submarinas de Rusia. La víctima seleccionada por los atacantes para dirigir el ataque de «spearphishing» habría sido Igor Vladimirovich Vilnia, el Director General de la empresa Rubin Design Bureau. Rubin, además de diseñar unidades submarinas para la Armada de Rusia desde 1901, es una de las 30 empresas que integran el Megagrupo de Industria Naval ruso United Shipbuilding Corporation.
Empresa Rubin
El Vocero de la Amenaza y las TTPPs utilizadas
La noticia fue publicada por Cybereason en el blog de su grupo de investigación en inteligencia de amenazas, Nocturnus. Este grupo, según la propia Cybereason, está integrado por los mejores profesionales provenientes del sector público ( inteligencia y fuerzas armadas) y del sector privado de ciberseguridad con la misión de «descubrir amenazas emergentes a nivel global».
Sitio Web Cybereason
Estamos convencidos que la mayoría de los atacantes han recibido adiestramiento en inteligencia nacional y militar, y por ese motivo respondemos «al fuego con fuego».
En el post fechado el 30 de abril 2021, Nocturnus revela que se encontraba realizando una investigación sobre una herramienta de «spearphishing« atribuida a grupos como Tick, Tonto Team y TA428, todos ellos vinculados a China. Y en este punto cabe recordar que este tipo de vector de ataque es una evolución más sofisticada de aquellas primeras campañas de 1990, cuando los agresores atrajeron a sus víctimas a través del esquema de fraude del falso príncipe de Nigeria. Los ataques de «spearphishing» son específicamente diseñados y dirigidos contra blancos determinados y de alto valor, como funcionarios de gobierno, directivos de empresas, etc. Estructurados generalmente mediante un correo electrónico o algún otro tipo de mensajería online tienen como principal objetivo el acceso a información sensible o confidencial o la afectación de dispositivos con malware/ransomware. Su efectividad radica en que los agresores, previo a la planificación del ataque, han reunido información suficiente sobre un individuo o una organización en diversas fuentes de información pública, plataformas de redes sociales e incluso fuentes alojadas en la Web Oscura (Dark Web).
La herramienta de «spearphishing» que analizaba Nocturnus era Royal Road RTF, un «weaponizer» (código malicioso diseñado para descargar y ejecutar otro código malicioso) también conocido como 8.t Dropper/RTF exploit builder, identificada por una empresa británica con sede en EEUU también especializada en Threat Intelligence. Se trata de Anomali Lab, que en marzo 2020 publicó un documento donde detalla no sólo el descubrimiento de Royal Road sino también el método de análisis y proceso de atribución de este tipo de vectores de ataque.
Según Anomali Lab, Royal Road habría sido utilizado en campañas de ataques atribuibles a grupos APT de China y del Sudeste Asiático y a grupos de ciberdelincuencia. Este vector de ataque sería una base de código con capacidad de generar exploits de texto enriquecido (RichText File) con contenido «confiable» para las vulnerabilidades CVE-2017-11882, CVE-2018-0802 y CVE-2018-0798 que afectan al Equation Editor de Microsoft. Si bien estas vulnerabilidades fueron parcheadas en 2017 y 2018 por Microsoft, Anomali Lab entiende que los APT chinos las explotaron casi al mismo tiempo en que se hacían públicas. Entre sus principales usuarios se encontrarían actores APT de procedencia china que participaron de campañas de espionaje con el objeto de satisfacer requerimientos de inteligencia para la Iniciativa «Belt & Road» en Asia Central, Rusia, Vietnam y Mongolia y también orientados a obtener información de sectores de defensa, académicos y de interés marítimo de EEUU.
Curiosamente esta herramienta no es open source pero los investigadores, sostienen que son varios los grupos que la emplean. Esta afirmación es sostenida por otros dos grupos de investigadores que han publicado trabajos recientes sobre este malware, como nao_sec y Sebdraven.
Durante la evaluación de muestras como parte de la investigación en curso, Nocturnus habría detectado mediante la técnica de patrón de anomalías una muestra que presentaba características diferentes y que descargaba el código malicioso (malware) «Portdoor», una puerta trasera no documentada que habría sido desarrollada por un actor/amenaza que trabajaría para satisfacer los intereses del gobierno chino.
Conclusiones
Este incidente podría ser uno de los tantos ataques del tipo «spearphishing» que aparecen en la prensa especializada en eventos de ciberseguridad. Sin embargo, el hecho que tanto el agresor como el agredido representen a dos de los principales actores con intereses en oposición a la nacionalidad del país denunciante del evento de ciberespionaje, contribuye a agregar mayor complejidad a un entorno de por sí carente de certezas absolutas. También trae a la mesa de análisis el archiconocido dilema de la atribución, aún no resuelto ya sea por una intencionalidad definida como por falta de voluntad. El proceso de atribución se ha convertido en una herramienta de comunicación política, cuyo abundante detalle técnico no alcanza para definir un grado de certeza aceptable. En este caso algunas inconsistencias contribuyen a generar confusión. Por ejemplo como la mención de submarinos nucleares cuando la misma empresa Rubin está orientando su esfuerzo de diseño, producción y comercialización a los vehículos submarinos no tripulados o como la no inclusión del apellido del directivo de Rubin, a pesar que los investigadores habrían tachado su nombre en el encabezado del correo electrónico antes de efectuar la captura de pantalla que publicaron, por mencionar algunas de las inconsistencias que pueden contrastarse con facilidad en fuentes públicas online.
Sin embargo, más allá de la niebla del ciberespacio, debemos tomar en cuenta algunos aspectos importantes:
Los ataques «spearphishing», lejos de cesar con el paso del tiempo se han vuelto cada vez más sofisticados.
Directora Ciberprisma
Todas las organizaciones pueden ser víctima de estos vectores en cualquier momento, y particularmente aquellas vinculadas con sectores estratégicos como la defensa, la capacidad industrial y tecnológica, el energético en todas sus variantes, etc.
Los agresores podrán ser ciberdelincuentes o actores con patrocinio privado o público, ya sea que persigan generar un impacto económico, político o geopolítico.
Fuentes:
- https://thehackernews.com/2021/05/new-chinese-malware-targeted-russias.html
- https://www.cybereason.com/blog/portdoor-new-chinese-apt-backdoor-attack-targets-russian-defense-sector
- https://malware.news/t/on-the-royal-road/38342
- https://vpk.name/en/474335_interview-with-the-general-director-of-the-central-bank-rubin.html
Ciberprisma - alianza por la ciberseguridad 