{"id":974307,"date":"2023-09-28T14:21:11","date_gmt":"2023-09-28T14:21:11","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-grupo-de-pirateria-blacktech-de-china-aprovecho-enrutadores-para-atacar-a-empresas-estadounidenses-y-japonesas\/"},"modified":"2023-09-28T14:21:15","modified_gmt":"2023-09-28T14:21:15","slug":"el-grupo-de-pirateria-blacktech-de-china-aprovecho-enrutadores-para-atacar-a-empresas-estadounidenses-y-japonesas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-grupo-de-pirateria-blacktech-de-china-aprovecho-enrutadores-para-atacar-a-empresas-estadounidenses-y-japonesas\/","title":{"rendered":"El grupo de pirater\u00eda BlackTech de China aprovech\u00f3 enrutadores para atacar a empresas estadounidenses y japonesas"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Las agencias de ciberseguridad de Jap\u00f3n y Estados Unidos han advertido sobre ataques organizados por un grupo de hackers de China respaldado por el Estado para manipular sigilosamente los enrutadores de las sucursales y utilizarlos como puntos de partida para acceder a las redes de varias empresas en los dos pa\u00edses.<\/p>\n

Los ataques se han relacionado con un actor cibern\u00e9tico malicioso denominado tecnolog\u00eda negra<\/strong> por la Agencia de Seguridad Nacional de EE. UU. (NSA), la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Agencia de Polic\u00eda Nacional de Jap\u00f3n (NPA) y el Centro Nacional de Preparaci\u00f3n para Incidentes y Estrategia de Ciberseguridad de Jap\u00f3n (NISC) .<\/p>\n

“BlackTech ha demostrado capacidades para modificar el firmware de los enrutadores sin ser detectado y explotar las relaciones de dominio-confianza de los enrutadores para pasar de las subsidiarias internacionales a las oficinas centrales en Jap\u00f3n y Estados Unidos, que son los objetivos principales”, dijeron las agencias. dicho<\/a> en una alerta conjunta.<\/p>\n

Los sectores objetivo abarcan los sectores gubernamental, industrial, tecnol\u00f3gico, de medios, electr\u00f3nico y de telecomunicaciones, as\u00ed como entidades que apoyan a los ej\u00e9rcitos de Estados Unidos y Jap\u00f3n.<\/p>\n

tecnolog\u00eda negra<\/a>tambi\u00e9n llamado con los nombres Circuit Panda, HUAPI, Manga Taurus, Palmerworm, Red Djinn y Temp.Overboard, tiene un historial de operaciones contra objetivos en el este de Asia, espec\u00edficamente Taiw\u00e1n, Jap\u00f3n y Hong Kong al menos desde 2007.<\/p>\n

Trend Micro, en diciembre de 2015, descrito<\/a> el actor de amenazas est\u00e1 bien financiado y organizado, atacando industrias verticales clave (a saber, gobierno, electr\u00f3nica de consumo, inform\u00e1tica, atenci\u00f3n m\u00e9dica y finanzas) ubicadas en la regi\u00f3n.<\/p>\n

\"La<\/a><\/center><\/section>\n

Desde entonces se ha atribuido a una amplia gama de puertas traseras como BendyBear<\/a>BIFROSE (tambi\u00e9n conocido como Bifrost), Consock, KIVARS, ALEGAR<\/a>, TSCookie<\/a> (tambi\u00e9n conocido como FakeDead), XBOW y Oso de agua<\/a> (tambi\u00e9n conocido como DBGPRINT<\/a>). Campa\u00f1as S\u00daPLICA documentado<\/a> por la firma de ciberseguridad en junio de 2017 han supuesto la explotaci\u00f3n de enrutadores vulnerables para su uso como servidores de comando y control (C&C).<\/p>\n

S\u00daPLICAN actores<\/a> “Utilice una herramienta de escaneo de enrutadores para buscar enrutadores vulnerables, despu\u00e9s de lo cual los atacantes habilitar\u00e1n la funci\u00f3n VPN del enrutador y luego registrar\u00e1n una m\u00e1quina como servidor virtual”, se\u00f1al\u00f3 Trend Micro en ese momento. “Este servidor virtual se utilizar\u00e1 como servidor C&C o un servidor HTTP que entrega malware PLEAD a sus objetivos”.<\/p>\n

Las cadenas de ataque t\u00edpicas orquestadas por el actor de amenazas implican el env\u00edo de correos electr\u00f3nicos de phishing con archivos adjuntos cargados de puerta trasera para implementar malware dise\u00f1ado para recopilar datos confidenciales, incluido un descargador llamado banderapro<\/a> y puerta trasera conocida como BTSDoor, PwC revelado<\/a> en octubre de 2021, se\u00f1alando que “la explotaci\u00f3n del enrutador es una parte fundamental de los TTP para BlackTech”.<\/p>\n

A principios de julio, Mandiant, propiedad de Google resaltado<\/a> Los grupos de amenazas chinos “apuntan a enrutadores y otros m\u00e9todos para transmitir y disfrazar el tr\u00e1fico de atacantes tanto dentro como fuera de las redes de las v\u00edctimas”.<\/p>\n

La compa\u00f1\u00eda de inteligencia de amenazas vincul\u00f3 adem\u00e1s a BlackTech con un malware llamado EYEWELL que se entrega principalmente al gobierno y objetivos tecnol\u00f3gicos de Taiw\u00e1n y que “contiene una capacidad de proxy pasivo que puede usarse para transmitir tr\u00e1fico desde otros sistemas infectados con EYEWELL dentro de un entorno de v\u00edctima”.<\/p>\n

El amplio conjunto de herramientas apunta a un equipo de hackers altamente ingenioso que se jacta de contar con un conjunto de herramientas de malware en constante evoluci\u00f3n y esfuerzos de explotaci\u00f3n para eludir la detecci\u00f3n y permanecer fuera del radar durante largos per\u00edodos aprovechando certificados de firma de c\u00f3digo robados<\/a> y otras t\u00e9cnicas de subsistencia de la tierra (LotL).<\/p>\n

PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n

Luche contra la IA con IA: combata las ciberamenazas con herramientas de IA de pr\u00f3xima generaci\u00f3n<\/p>\n

<\/a><\/p>\n

\u00bfListo para afrontar nuevos desaf\u00edos de ciberseguridad impulsados \u200b\u200bpor la IA? \u00danase a nuestro interesante seminario web con Zscaler para abordar la creciente amenaza de la IA generativa en la ciberseguridad.<\/p>\n

Potencia tus habilidades<\/a><\/section>\n

En su \u00faltimo aviso, CISA et al criticaron al actor de amenazas por poseer capacidades para desarrollar malware personalizado y mecanismos de persistencia personalizados para infiltrarse en dispositivos perif\u00e9ricos, a menudo modificando el firmware para mantener la persistencia, proxy del tr\u00e1fico, mezcl\u00e1ndose con el tr\u00e1fico de la red corporativa y girando hacia otras v\u00edctimas en la misma red.<\/p>\n

Dicho de otra manera, las modificaciones fraudulentas al firmware incorporan una puerta trasera SSH incorporada que permite a los operadores mantener un acceso encubierto al enrutador mediante el uso de paquetes magicos<\/a> para activar o desactivar la funci\u00f3n.<\/p>\n

“Los actores de BlackTech han comprometido varios enrutadores de Cisco utilizando variaciones de una puerta trasera de firmware personalizada”, dijeron las agencias. “La funcionalidad de puerta trasera se habilita y deshabilita a trav\u00e9s de paquetes TCP o UDP especialmente dise\u00f1ados. Este TTP no se limita \u00fanicamente a los enrutadores Cisco, y se podr\u00edan usar t\u00e9cnicas similares para habilitar puertas traseras en otros equipos de red”.<\/p>\n

Cisco, en su propio bolet\u00edn, dijo que el vector de acceso inicial m\u00e1s frecuente en estos ataques tiene que ver con credenciales administrativas d\u00e9biles o robadas y que no hay evidencia de explotaci\u00f3n activa de fallas de seguridad en su software.<\/p>\n

“Ciertos cambios de configuraci\u00f3n, como deshabilitar el registro y descargar firmware, requieren credenciales administrativas”, dijo la empresa. dicho<\/a>. “Los atacantes utilizaron credenciales comprometidas para realizar cambios de software y configuraci\u00f3n a nivel administrativo”.<\/p>\n

Como mitigaci\u00f3n, se recomienda que los defensores de la red monitoreen los dispositivos de red en busca de descargas no autorizadas de cargadores de arranque e im\u00e1genes de firmware y reinicios y est\u00e9n atentos al tr\u00e1fico an\u00f3malo destinado al enrutador, incluido SSH.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n