El mundo cibernético cada día se hace más problemático e inseguro. Así nos lo confirma la noticia reciente de una operación de piratería informática y espionaje cibernético. Cuyo objetivo es perseguir a sus víctimas en todo el mundo a través de una campaña que solo pretende husmear en las redes de los objetivos y robarles su información.
Algunas de las víctimas de estos hackers incluyen a organizaciones gubernamentales, legales, grupos religiosos, organizaciones no gubernamentales, el sector farmacéutico y de telecomunicaciones. Incluso han atacado a varios países, en donde destacan los EE. UU., Canadá, Hong Kong, Japón, Turquía, Israel, India, Montenegro e Italia.
¿Cuáles son los hackers responsables de esta violación a redes privadas?
Los investigadores de seguridad cibernética de Symantec, señalan que la campaña es obra de un grupo llamado Cicada, también conocido como APT10. Se trata nada más que de un grupo de hacking ofensivo patrocinado por el estado, y al que las agencias de inteligencia occidentales han vinculado al Ministerio de Seguridad del Estado de China. En algunos casos, los atacantes pasaron hasta nueve meses dentro de las redes de sus víctimas.
APT10 no es un grupo nuevo, pues ha estado activo durante más de una década. La evidencia más temprana de esta última campaña de hacking apareció a mediados de 2021. Sin embargo, la actividad más reciente que se ha detallado ocurrió en febrero de 2022 y los investigadores advierten que la campaña aún podría estar en curso.
¿Cómo operan estos ciberatacantes?
Algunas de las campañas que han llevado a cabo estos hackers dejaron evidencia de cómo suelen operar. Una de las pistas sobre cómo inician su operación se reduce a esto: los investigadores observaron que la actividad de los hackers iniciaba con redes comprometidas en servidores de Microsoft Exchange. Ello sugiere que los atacantes comenzaron explotando vulnerabilidades sin parches en Microsoft Exchange, las cuales salieron a la luz a principios de 2021.
Y, una vez que los hackers obtuvieron el acceso inicial, llevaron a cabo otro proceso más complejo. Proceso en el que se incluía una serie de herramientas, tales como Sodamaster, un malware sin archivos que brinda una puerta trasera a las máquinas. También tal malware sirve como un cargador personalizado para colocar cargas útiles adicionales. Y ambas formas del malware Sodamaster fueron utilizadas en campañas anteriores de APT10.
El malware es capaz de evadir la detección. También ofusca y encripta cualquier información que se envía de regreso a los servidores de comando y control operados por los hackers. Además de las herramientas personalizadas, las campañas también usan herramientas disponibles públicamente para escanear sistemas y ejecutar comandos.
¿Cuál es el objetivo del grupo de hackers?
Determinar el objetivo de un grupo de hackers puede llegar a ser complejo, y mucho más el de una determinada campaña de hacking. Sin embargo, los investigadores han llegado a una conclusión luego de analizar las víctimas a las que estos se dirigen, así como sus herramientas. Y la conclusión es esta: el objetivo más probable de la campaña es el robo de información y la recopilación de inteligencia.
“El tipo de organizaciones objetivo (organizaciones sin fines de lucro y gubernamentales, incluidas las involucradas en actividades religiosas y educativas) es más probable que sean de interés para el grupo con fines de espionaje”, dijo Brigid O Gorman, desarrolladora de información sénior en el equipo de cazadores de amenazas de Symantec.
De hecho, el Departamento de Justicia de los Estados Unidos ha acusado previamente a presuntos miembros de APT10 por campañas de piratería en redes informáticas y robo de información.
Y múltiples organizaciones grandes en todo el mundo sugieren que este grupo de hackers tiene muchos recursos. Los investigadores señalan que Cicada sigue siendo una amenaza de seguridad cibernética para las redes informáticas consideradas de interés para los atacantes.
¿Qué hacer para evitar que el grupo de hackers viole tus redes privadas?
Es cierto que defenderse de un grupo de piratas informáticos respaldado por un estado-nación no es fácil, pero hay algunos pasos que pueden seguirse para no ser víctima de estos:
- Parcheo de vulnerabilidades conocidas, como las de Microsoft Exchange.
- Reforzar las credenciales mediante el uso de la autenticación de múltiples factores.
- Introducir credenciales únicas para el trabajo administrativo, con el fin de ayudar a prevenir el robo y el uso indebido de los inicios de sesión de administrador.
- Los equipos de seguridad cibernética deben monitorear continuamente la red en busca de actividades potencialmente sospechosas.
Esperamos que todas estas pautas te sirvan para estar más seguro en el ciberespacio.