Los grupos de piratas informáticos chinos continúan apuntando a los activos de la red eléctrica india

Los adversarios vinculados a China han sido atribuidos a un ataque continuo contra las organizaciones de la red eléctrica india, un año después de que saliera a la luz una campaña concertada dirigida a la infraestructura crítica en el país.

La mayoría de las intrusiones involucraron una puerta trasera modular llamada ShadowPad , según Insikt Group de Recorded Future, un sofisticado troyano de acceso remoto que ha sido calificado como una "obra maestra del malware de venta privada en el espionaje chino".

"ShadowPad continúa siendo empleado por un número cada vez mayor de grupos vinculados al Ejército Popular de Liberación (EPL) y al Ministerio de Seguridad del Estado (MSS), con sus orígenes vinculados a contratistas conocidos del MSS que primero usan la herramienta en sus propias operaciones y luego probablemente actuando como un intendente digital", dijeron los investigadores .

El objetivo de la campaña sostenida, dijo la compañía de ciberseguridad, es facilitar la recopilación de inteligencia relacionada con los sistemas de infraestructura crítica en preparación para futuras operaciones de contingencia. Se cree que la orientación comenzó en septiembre de 2021.

Los ataques apuntaron a siete centros estatales de despacho de carga (SDLC, por sus siglas en inglés) ubicados principalmente en el norte de la India, en particular los cercanos a la disputada frontera entre India y China en Ladakh, y uno de los objetivos fue víctima de un ataque similar revelado en febrero de 2021 y atribuido a el grupo RedEcho.

Los ataques de RedEcho de 2021 involucraron el compromiso de 10 organizaciones distintas del sector energético indio, incluidos seis de los centros de despacho de carga (RLDC) regionales y estatales del país, dos puertos, una planta de energía nacional y una subestación.

india-china

Recorded Future vinculó el último conjunto de actividades maliciosas a un grupo de amenazas emergentes que está rastreando bajo el nombre de Threat Activity Group 38, también conocido como TAG-38 (similar a las designaciones UNC#### y DEV-#### otorgadas por Mandiant y Microsoft) , citando "distinciones notables" de la de los TTP de RedEcho previamente identificados.

Además de atacar los activos de la red eléctrica, TAG-38 impactó un sistema nacional de respuesta a emergencias y la subsidiaria india de una empresa multinacional de logística.

Aunque se desconoce el vector de infección inicial que se usó para vulnerar las redes, el malware ShadowPad en los sistemas host fue requisado por medio de una red de dispositivos de cámara DVR/IP infectados con acceso a Internet geolocalizados en Taiwán y Corea del Sur.

"El uso de ShadowPad en los grupos de actividad chinos continúa creciendo con el tiempo, con nuevos grupos de actividad identificados regularmente usando la puerta trasera, así como la adopción continua por parte de grupos previamente rastreados", dijeron los investigadores, y agregaron que está monitoreando al menos 10 grupos distintos con acceso al malware.

Tras la divulgación, el ministro de Energía de la Unión de India, RK Singh , caracterizó las intrusiones como "intentos de sondeo" fallidos de piratería que ocurrieron en enero y febrero, y que el gobierno revisa constantemente sus mecanismos de ciberseguridad para reforzar las defensas.

China, por su parte, reiteró que "se opone y combate firmemente todas las formas de ciberataques" y que "la ciberseguridad es un desafío común que enfrentan todos los países y que debe abordarse de manera conjunta a través del diálogo y la cooperación".

"Recientemente, las empresas chinas de ciberseguridad publicaron una serie de informes que revelan que el gobierno de EE. UU. lanzó ataques cibernéticos en muchos países del mundo, incluida China, poniendo en grave peligro la seguridad de la infraestructura crítica de estos países", dijo el portavoz del Ministerio de Relaciones Exteriores de China, Zhao Lijian. dijo .

"Vale la pena señalar que muchos de los aliados de EE. UU. o países con los que coopera en ciberseguridad también son víctimas de ciberataques de EE. UU. Creemos que la comunidad internacional, especialmente los países vecinos de China, mantendrán los ojos bien abiertos y emitirán su propio juicio sobre las verdaderas intenciones del lado estadounidense".

Fuente: Thehackernews

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies