Hackers chinos explotan dispositivos no parcheados para atacar agencias estadounidenses

La agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de Estados Unidos emitió un nuevo aviso el lunes sobre una ola de ciberataques llevados a cabo por hackers chinos contra agencias gubernamentales y entidades privadas de Estados Unidos.

«CISA ha observado a los actores de amenazas cibernéticas afiliados al Ministerio de Seguridad del Estado chino que operan desde la República Popular China utilizando fuentes de información disponibles comercialmente y herramientas de explotación de código abierto para atacar las redes de agencias del gobierno de Estados Unidos», dijo la agencia de ciberseguridad.

Durante los últimos 12 meses, las víctimas fueron identificadas a través de fuentes como Shodan, la base de datos Common Vulnerabilities and Exposure (CVE) y la National Vulnerabilities Database (NVD), aprovechando la publicación pública de una vulnerabilidad para elegir objetivos vulnerables y promover sus motivos.

Al comprometer sitios web legítimos y aprovechar los correos electrónicos de phishing con enlaces maliciosos que apuntan a sitios propiedad del atacante para obtener acceso inicial, los actores de amenazas chinos han implementado herramientas de código abierto como Cobalt Strike, China Chopper Web Shell y Mimikatz para extraer información confidencial de los sistemas infectados.

Eso no es todo. Aprovechando el hecho de que las organizaciones no están mitigando rápidamente las vulnerabilidades de software conocidas, los atacantes patrocinados por el estado están «apuntando, escaneando e investigando» las redes del gobierno de EE. UU. En busca de fallas sin parches en la interfaz de usuario de administración de tráfico Big-IP de F5 Networks (CVE-2020 -5902), Citrix VPN (CVE-2019-19781), Pulse Secure VPN (CVE-2019-11510) y Microsoft Exchange Servers (CVE-2020-0688) para comprometer los objetivos.

«Los actores de amenazas cibernéticas también continúan identificando grandes depósitos de credenciales que están disponibles en Internet para permitir ataques de fuerza bruta», dijo la agencia. «Si bien este tipo de actividad no es un resultado directo de la explotación de vulnerabilidades emergentes, demuestra que los actores de amenazas cibernéticas pueden utilizar de manera efectiva la información disponible de fuente abierta para lograr sus objetivos».

Esta no es la primera vez que los actores chinos trabajan en nombre de los MSS de China para infiltrarse en varias industrias en los EE. UU. Y otros países.

En julio, el Departamento de Justicia de EE. UU. (DoJ) acusó a dos ciudadanos chinos por su presunta participación en una ola de piratería de una década que abarca los sectores de fabricación de alta tecnología, ingeniería industrial, defensa, educación, software de juegos y farmacéutico con el objetivo de robar y comerciar secretos e información comercial confidencial.

Pero no es solo China. A principios de este año, la empresa de seguridad israelí ClearSky descubrió una campaña de ciberespionaje denominada «Fox Kitten» que se dirigía a empresas gubernamentales, de aviación, de petróleo y gas y de seguridad mediante la explotación de vulnerabilidades de VPN sin parches para penetrar y robar información de las empresas objetivo, lo que llevó a CISA a emitir varias medidas de seguridad. alertas que instan a las empresas a proteger sus entornos VPN.

Al afirmar que los actores sofisticados de amenazas cibernéticas continuarán utilizando recursos y herramientas de código abierto para identificar las redes con una postura de baja seguridad, CISA recomendó a las organizaciones que parcheen las vulnerabilidades explotadas de manera rutinaria y «auditen su configuración y programas de administración de parches para asegurarse de que puedan rastrear y mitigar las amenazas emergentes «.

Fuente: The Hacker News

Comments are closed.