Los actores de amenaza respaldados por China, incluidos grupos notorios APT15 (también conocidos como Flea, Nickel, Vixen Panda, Ke3Chang, Royal APT y Dragon Playful) y UNC5174, lanzaron una serie de ataques dirigidos a más de 70 organizaciones de alto valor en varios sectores entre julio del año pasado y marzo del año en curso. Entre los objetivos de esta extensa campaña, que los investigadores creen que está dirigido principalmente al agresión cibernética utilizando el malware ShadowPad, fue el proveedor de seguridad con IA Sentinelone.
El brazo de investigación de amenazas de Sentinelone, Sentinelabs, ha estado rastreando activamente esta actividad maliciosa. Lo clasifican bajo el nombre de Purplehaze y lo identifican como parte de una operación más amplia de Shadowpad. Su investigación, detallada en una reciente publicación de blog, reveló dos casos específicos en los que Sentinelone se vio afectado. El primero, que ocurre en octubre, involucró la actividad de Purplehaze, caracterizado por actores de amenaza que llevan a cabo un “reconocimiento remoto extenso” en servidores centinelona accesibles a través de Internet. El segundo incidente, que tuvo lugar a principios de este año, se conectó con el malware ShadowPad y se centró en una organización de terceros responsable de administrar la logística de hardware para los empleados de Sentinelone.
Al descubrir la intrusión en el proveedor de logística, Sentinelone actuó rápidamente. “Informamos rápidamente los servicios de TI y la organización de logística de los detalles de la intrusión”, declararon los investigadores de Sentinellabs. Inmediatamente iniciaron una investigación integral sobre los activos internos de infraestructura, software y hardware de Sentinelone. Este examen exhaustivo encontró “sin evidencia de compromiso” dentro de los sistemas directos de Sentinelone.
A pesar de la falta de compromiso interno directo, Sentinelone sigue siendo incierto del objetivo final de los atacantes para atacar al proveedor de logística. Si bien el enfoque inmediato podría haber sido la organización de terceros en sí, los actores de amenaza china son conocidos por su táctica de establecer puntos de apoyo en una entidad para extender su alcance a las organizaciones posteriores. Esta posibilidad sigue siendo una preocupación y subraya la naturaleza interconectada de las amenazas cibernéticas.
La focalización de proveedores de ciberseguridad como Sentinelone destaca lo que la compañía considera un aspecto poco discutido del panorama de amenazas actual. Las empresas de ciberseguridad son objetivos particularmente atractivos para los actores de amenaza debido a su papel crucial en la protección de los clientes, su profunda visibilidad en diversos entornos de red y su capacidad para interrumpir las operaciones maliciosas. Sentinelone enfatizó este punto, afirmando: “Las empresas de ciberseguridad son objetivos de alto valor para los actores de amenaza debido a sus roles protectores, una profunda visibilidad en los entornos de los clientes y la capacidad de interrumpir las operaciones adversas”.
Sentinelone aboga por una mayor transparencia y colaboración dentro de la industria de la ciberseguridad con respecto a este tipo de ataques. Su objetivo al revelar públicamente estos incidentes es “contribuir al fortalecer las defensas de la industria promoviendo la transparencia y alentando la colaboración”. Creen que compartir información sobre estas campañas ayuda a “destartimatizar el intercambio de [indicators of compromise] relacionado con estas campañas, y así contribuir a una comprensión más profunda de las tácticas, objetivos y patrones operativos de los actores de amenaza de China-Nexus “.
Los dos grupos principales vinculados a estos ataques, APT15 y UNC5174, tienen una larga historia de actividad maliciosa. APT15, activo durante más de dos décadas con períodos de latencia y resurgimiento, se ha observado recientemente dirigido a poblaciones étnicas chinas y ministerios extranjeros en América del Norte y del Sur. Se cree que UNC5174, previamente documentado por Mandiant, opera como un contratista del gobierno chino, centrándose en países occidentales, incluidos Estados Unidos, el Reino Unido y Canadá.
Además de defenderse, Sentinelone también rastreó un número significativo de otras intrusiones por APT15 o UNC5174 durante el período de ocho meses entre julio y marzo. Estas intrusiones afectaron una amplia gama de objetivos, incluida una entidad gubernamental del sur de Asia y una organización de medios europeo, además de las más de 70 organizaciones en varios sectores mencionados anteriormente. Estos sectores incluyeron fabricación, gobierno, finanzas, telecomunicaciones e investigación.
Los hallazgos de esta serie de ataques de actores respaldados por China destacan la naturaleza implacable del panorama de amenazas. Sentinelone enfatiza la necesidad crítica de que todas las organizaciones, especialmente los proveedores de ciberseguridad, mantengan un alto nivel de vigilancia, implementen capacidades de monitoreo sólidas y tengan planes de respuesta efectivos y rápidos para defenderse de ataques tan sofisticados.
“Al compartir públicamente los detalles de nuestras investigaciones”, escribieron los investigadores de Sentinellabs: “Nuestro objetivo es proporcionar información sobre la orientación rara vez discutida de los proveedores de ciberseguridad, ayudando a desestigmatizar el intercambio de compartir [indicators of compromise] relacionado con estas campañas, y así contribuir a una comprensión más profunda de las tácticas, objetivos y patrones operativos de los actores de amenaza de China-Nexus “. Este enfoque colaborativo, argumentan, es esencial para construir defensas colectivas más fuertes contra actores de amenaza persistentes y avanzados que operan en nombre de los estados nacionales.
Source: Los actores vinculados a China se dirigen a más de 70 organizaciones
