El gobierno de Estados Unidos no debería ceñirse rígidamente a las designaciones tradicionales sobre qué agencia toma la iniciativa en la interacción con sectores de infraestructura críticos, dijo el martes el director interino de la Agencia de Seguridad de Infraestructura y Ciberseguridad.

Las designaciones de agencias de gestión de riesgos sectoriales han determinado durante mucho tiempo qué agencia está a la vanguardia de los esfuerzos gubernamentales para proteger cada uno de los 16 sectores de infraestructura crítica, siendo CISA responsable de ocho de ellos.

«Cuando analizamos la estructura de nuestra agencia de gestión de riesgos del sector, eso es importante por muchas razones. Es menos importante cumplir con eso estrictamente y decir 'CISA es la Agencia de Gestión de Riesgos del Sector para las telecomunicaciones'», dijo Nick Andersen de CISA en un evento organizado por el Instituto McCrary de la Universidad de Auburn.

Más bien, al responder a incidentes cibernéticos o emprender otros compromisos con el sector privado, la pregunta debería ser quién tiene la mejor relación con un determinado sector.

«Es posible que tengamos algunos propietarios-operadores dentro de un determinado sector de infraestructura crítica y tal vez la persona de la que estén mejor posicionados para recibir recursos seamos nosotros, o tal vez sea [Department of] Energía, o tal vez sea la EPA, o tal vez sea el FBI o la NSA, etc., etc.», dijo. «Simplemente tenemos que sentirnos cómodos quitándonos esas anteojeras y diciendo: 'No necesariamente necesito estar a cargo todo el tiempo, sin importar quién sea'. Sólo necesito asegurarme de que este propietario-operador tenga el mejor socio preparado para liderar ese compromiso'”.

El objetivo es evitar otra “situación en Guam”, en la que “todo el mundo corría hacia Guam durante los últimos años como niños persiguiendo un balón de fútbol”, dijo Andersen. Guam fue escenario de ataques a infraestructuras críticas contra bases militares estadounidenses que Microsoft atribuyó al grupo de hackers chino Volt Typhoon en 2023.

Un ataque al sector de las telecomunicaciones por parte de otro grupo “Typhoon”, Salt Typhoon, generó dudas sobre si CISA tiene las manos demasiado ocupadas con todas sus responsabilidades como agencia de gestión de riesgos del sector. El presidente de Seguridad Nacional de la Cámara de Representantes, Andrew Garbarino, RN.Y., planteó preocupaciones el año pasado sobre cómo CISA manejó su papel de agencia de gestión de riesgos sectoriales para el sector de las telecomunicaciones después de que se descubriera la campaña del tifón de sal.

Organizaciones de alto valor ubicadas en el sur, sudeste y este de Asia han sido atacadas por un actor de amenazas chino como parte de una campaña de años.

La actividad, que se ha dirigido a los sectores de aviación, energía, gobierno, aplicación de la ley, farmacéutica, tecnología y telecomunicaciones, ha sido atribuida por la Unidad 42 de Palo Alto Networks a un grupo de actividad de amenazas previamente indocumentado denominado CL-UNK-1068donde «CL» se refiere a «clúster» y «UNK» significa motivación desconocida.

Sin embargo, el proveedor de seguridad ha evaluado con «confianza moderada a alta» que el objetivo principal de la campaña es el ciberespionaje.

«Nuestro análisis revela un conjunto de herramientas multifacético que incluye malware personalizado, utilidades de código abierto modificadas y binarios que viven de la tierra (LOLBIN)», investigador de seguridad Tom Fakterman. dicho. «Estos proporcionan una manera simple y efectiva para que los atacantes mantengan una presencia persistente dentro de los entornos objetivo».

Las herramientas están diseñadas para atacar entornos Windows y Linux, y el adversario se basa en una combinación de utilidades de código abierto y familias de malware como Godzilla, ANTSWORD, Xnote y Fast Reverse Proxy (FRP), todas las cuales han sido utilizadas por varios grupos de hackers chinos.

Si bien tanto Godzilla como ANTSWORD funcionan como shells web, Xnote es una puerta trasera de Linux que ha sido detectado en la naturaleza desde 2015 y ha sido desplegado por un colectivo adversario conocido como Berberoka de la Tierra (también conocido como GamblingPuppet) en ataques dirigidos a sitios de apuestas en línea.

Las cadenas de ataques típicas implican la explotación de servidores web para entregar shells web y moverse lateralmente a otros hosts, seguido de intentos de robar archivos que coinciden con ciertas extensiones («web.config», «.aspx», «.asmx», «.asax» y «.dll») del directorio «c:\inetpub\wwwroot» de un servidor web de Windows, probablemente en un intento de robar credenciales o descubrir vulnerabilidades.

Otros archivos recopilados por CL-UNK-1068 incluyen el historial y los marcadores del navegador web, archivos XLSX y CSV de escritorios y directorios de USUARIOS, y archivos de respaldo de bases de datos (.bak) de servidores MS-SQL.

En un giro interesante, se ha observado que los actores de amenazas usan WinRAR para archivar los archivos relevantes, codifican los archivos en Base64 ejecutando el comando certutil -encode y luego ejecutan el comando type para imprimir el contenido Base64 en su pantalla a través del shell web.

«Al codificar los archivos como texto e imprimirlos en su pantalla, los atacantes pudieron exfiltrar datos sin cargar ningún archivo», dijo la Unidad 42. «Los atacantes probablemente eligieron este método porque el shell del host les permitía ejecutar comandos y ver la salida, pero no transferir archivos directamente».

Una de las técnicas empleadas en estos ataques es el uso de ejecutables legítimos de Python («python.exe» y «pythonw.exe») para lanzar ataques de carga lateral de DLL y ejecutar de forma sigilosa archivos DLL maliciosos, incluido FRP para acceso persistente. ImprimirSpoofery un escáner personalizado basado en Go llamado ScanPortPlus.

También se dice que CL-UNK-1068 participó en esfuerzos de reconocimiento utilizando una herramienta .NET personalizada llamada SuperDump ya en 2020. Las intrusiones recientes han pasado a un nuevo método que utiliza scripts por lotes para recopilar información del host y mapear el entorno local.

El adversario también utiliza una amplia gama de herramientas para facilitar el robo de credenciales:

«Utilizando principalmente herramientas de código abierto, malware compartido por la comunidad y secuencias de comandos por lotes, el grupo ha mantenido con éxito operaciones sigilosas mientras se infiltraba en organizaciones críticas», concluyó la Unidad 42.

«Este grupo de actividad demuestra versatilidad al operar en entornos Windows y Linux, utilizando diferentes versiones de su conjunto de herramientas para cada sistema operativo. Si bien el enfoque en el robo de credenciales y la exfiltración de datos confidenciales de infraestructura crítica y sectores gubernamentales sugiere fuertemente un motivo de espionaje, todavía no podemos descartar por completo intenciones cibercriminales».