Saltar al contenido
Cosas Tecnológicas

Francia advirtió que los enrutadores domésticos y de oficina fueron atacados por piratas informáticos nacionales chinos.

Las autoridades del condado dijeron que los piratas informáticos chinos están destruyendo una gran cantidad de enrutadores domésticos y de oficina para ataques sostenidos a gran escala contra organizaciones francesas.

Este grupo de piratería, conocido en el mundo de la seguridad como APT31, Zirconia, Panda y otros nombres, ha realizado históricamente actividades de espionaje contra organizaciones gubernamentales, financieras, aeroespaciales y de defensa, así como empresas de tecnología, construcción, ingeniería, telecomunicaciones, medios de comunicación. y otros campos. En la industria de seguros, dijo la empresa de seguridad FireEye. El Centro Nacional de Seguridad Cibernética del Reino Unido dijo el lunes que APT31 es también una de las tres organizaciones de piratería patrocinadas por el gobierno chino que participó en la piratería reciente de los servidores de Microsoft Exchange.

Intrusión y detección sigilosa

El miércoles, la Agencia de Seguridad del Sistema Nacional de Información de Francia (abreviada como ANSSI) advirtió a las empresas y organizaciones nacionales que la organización estaba detrás de un ataque a gran escala que utilizaba enrutadores pirateados como un medio para encubrir las intrusiones antes de realizar reconocimientos y ataques.

“ANSSI está lidiando actualmente con intrusiones a gran escala que afectan a muchas entidades francesas”, advirtió un informe de asesoramiento de ANSSI. “El ataque aún está en curso y está dirigido por un conjunto de intrusiones conocido públicamente como APT31. Según nuestra investigación, los actores de amenazas utilizan la red de enrutadores domésticos infectados como una caja de retransmisión operativa para realizar reconocimientos y ataques furtivos”.

El anuncio contiene indicadores de intrusión que las organizaciones pueden utilizar para determinar si han sido pirateados o atacados durante sus actividades.Estos indicadores incluyen 161 direcciones IP, pero no está del todo claro si pertenecen a enrutadores infectados u otros tipos de dispositivos conectados a Internet utilizados en el ataque.

Una especie Gráficos Un gráfico de países de alojamiento de IP creado por Will Thomas, investigador de la empresa de seguridad Cyjax, muestra que Rusia es el más concentrado, seguido de Egipto, Marruecos, Tailandia y los Emiratos Árabes Unidos.

Ninguna de estas direcciones está alojada en Francia o en cualquier país de Europa Occidental o en el país / región de Five Eyes Alliance.

“APT31 generalmente usa enrutadores pwned como último salto en el país de destino para evitar sospechas, pero en este caso, a menos que [French security agency] CERT-FR los ignoró, no lo hicieron aquí “, dijo Thomas en un mensaje directo.” Otra dificultad aquí es que algunos enrutadores pueden haber sido atacados por otros atacantes en el pasado o al mismo tiempo. “

Enrutador en punto de mira

En Twitter, el analista de amenazas de Microsoft Ben Koehl proporcionó Contexto adicional Zirconium es el nombre del fabricante de software de APT31.

El escribio:

ZIRCONIUM parece ejecutar muchas redes de enrutadores para facilitar estas operaciones. Se colocan en capas y se utilizan estratégicamente. Si investiga estas direcciones IP, deben usarse principalmente como IP de origen, pero a veces dirigirán el tráfico implantado a la red.

Históricamente, hicieron lo clásico: tengo un método dnsname -> ip para la comunicación C2. Han movido el tráfico a la red del enrutador. Esto les da la flexibilidad de manipular los destinos del tráfico en múltiples niveles mientras ralentiza el esfuerzo de perseguir los elementos.

Por otro lado, pueden retirarse del país objetivo para _en cierta medida_ evadir las técnicas básicas de detección.

Los piratas informáticos han estado utilizando enrutadores domésticos y de pequeñas oficinas infectados en redes de bots durante muchos años. Estas redes de bots han lanzado graves ataques de denegación de servicio, han redirigido a los usuarios a sitios maliciosos y han actuado como ataques de fuerza bruta, explotando vulnerabilidades, escaneando puertos y agentes de infiltración. Datos del objetivo pirateado. En 2018, investigadores del equipo de seguridad de Cisco Talos descubrieron VPNFilter, un malware relacionado con los piratas informáticos nacionales rusos, que infectaba a más de 500.000 enrutadores para una amplia gama de propósitos maliciosos. Ese mismo año, los investigadores de Akamai detallaron las vulnerabilidades del enrutador utilizando la tecnología UPnProxy.

Las personas a las que les preocupa que sus dispositivos se vean comprometidos deben reiniciar sus dispositivos con regularidad, ya que la mayoría de los malware de enrutadores no pueden sobrevivir al reinicio. El usuario también debe asegurarse de que la administración remota esté desactivada (a menos que realmente sea necesaria y esté bloqueada) y que el servidor DNS y otras configuraciones no se hayan cambiado maliciosamente. Como siempre, es una buena idea instalar actualizaciones de firmware de manera oportuna.