Espionaje Cibernético: La Amenaza de un Grupo Relacionado con China
Recientes investigaciones revelan la actividad de un grupo de ciberespionaje vinculado a China, que ha estado operando durante casi una década, infiltrándose en redes críticas mediante técnicas sofisticadas. Este artículo examina los métodos utilizados por los atacantes y las recomendaciones para prevenir futuros incidentes.
Métodos de Infiltración
En lugar de instalar software malicioso junto a programas legítimos, los atacantes han optado por reemplazar completamente componentes fundamentales de la autenticación en Linux. Según el análisis realizado por Sygnia, los módulos PAM (Pluggable Authentication Modules) y los binarios de OpenSSH fueron objetivo de estos ataques. Esto permitió a los hackers acceder a cada credencial ingresada y a cada comando ejecutado en los sistemas comprometidos.
Variantes del Ataque
Los investigadores identificaron nueve variantes del archivo pam_unix.so, cada una compilada en un entorno de construcción distinto. Las variantes se agrupan en dos familias principales:
Autenticación por Atajo: Aquí, se codificó un password fijo para eludir el proceso de autenticación, eliminándolo de la memoria inmediatamente después de ser utilizado.
Captura de Credenciales: En esta segunda variante, el código fue alterado para registrar cada nombre de usuario y contraseña en un archivo oculto (
/usr/sbin/.ssh.log) con cada inicio de sesión legítimo.
Modificaciones Maliciosas en OpenSSH
Además de los cambios en PAM, el grupo conocido como Velvet Ant también modificó las herramientas ssh, sshd y scp para registrar credenciales, comandos ingresados y pulsaciones de teclas. Estos datos se cifraron y se almacenaron en archivos cuya fecha y hora fueron falsificadas para alinearse con el directorio de shells.
Los atacantes implementaron un flag no documentado (-d) que, cuando se activaba durante sus propias sesiones, aseguraba que sus entradas no se registraran, lo que les otorgaba un nivel adicional de ocultación.
Mecanismos de Acceso
En versiones anteriores del kit SSH, Velvet Ant implementó un sistema de backdoor rotativo. Este método utilizaba siete hashes MD5 diferentes, uno para cada día de la semana, determinando así qué contraseña otorgaría acceso en un día específico. Estas actividades fueron rastreadas hasta 2016, gracias a registros de pulsaciones almacenados en /var/lib/sam/.
Recomendaciones de Seguridad
Para contrarrestar estos tipos de ataques, Sygnia subraya la importancia de tratar módulos críticos como PAM, OpenSSH y LSASS en Windows como activos esenciales. Es esencial implementar la detección de puntos finales y controles de integridad de archivos.
Además, se recomienda establecer autenticación multifactor como herramienta de acceso a los servidores, previniendo que un atacante que ya tenga control sobre el flujo de autenticación pueda eludir esta medida.
Conclusión
La actividad de este grupo de ciberespionaje resalta la creciente sofisticación de los ataques cibernéticos dirigidos. La atención continua a la seguridad de los sistemas de autenticación y la adopción de medidas preventivas son cruciales para proteger las redes frente a amenazas emergentes. La seguridad cibernética debe ser una prioridad constante en un mundo donde los ataques son cada vez más avanzados.
About the Author
