Las agencias de ciberseguridad de Japón y EE.UU. han alertado sobre ataques perpetrados por un grupo de hackers respaldado por el estado chino que manipula sigilosamente los routers de sucursales y los utiliza como puntos de acceso para infiltrarse en las redes de diversas empresas en ambos países.
Los ataques han sido vinculados a un actor cibernético malicioso apodado BlackTech por la Agencia de Seguridad Nacional (NSA) de EE.UU., la Oficina Federal de Investigación (FBI), la Agencia de Seguridad Cibernética e Infraestructura (CISA), la Agencia Nacional de Policía de Japón (NPA) y el Centro Nacional de Japón de Preparación y Estrategia para la Ciberseguridad (NISC).
«BlackTech ha demostrado capacidades para modificar el firmware de los routers sin ser detectados y explotar las relaciones de confianza de dominio de los routers para pivotar desde filiales internacionales hasta las sedes en Japón y Estados Unidos, que son los principales objetivos», señalaron las agencias en una alerta conjunta.
Los sectores objetivo abarcan gobierno, industria, tecnología, medios de comunicación, electrónica y telecomunicaciones, así como entidades que respaldan a las fuerzas armadas de EE.UU. y Japón.
BlackTech, también conocido por los nombres Circuit Panda, HUAPI, Manga Taurus, Palmerworm, Red Djinn y Temp.Overboard, ha operado contra objetivos en Asia Oriental, específicamente Taiwán, Japón y Hong Kong al menos desde 2007.
Trend Micro, en diciembre de 2015, describió al actor de amenazas como bien financiado y organizado, atacando verticales clave de la industria, como gobierno, electrónica de consumo, informática, salud y finanzas, ubicados en la región.
Desde entonces, se le ha atribuido una amplia gama de puertas traseras como BendyBear, BIFROSE (también conocido como Bifrost), Consock, KIVARS, PLEAD, TSCookie (también conocido como FakeDead), XBOW y Waterbear (también conocido como DBGPRINT). Las campañas de PLEAD documentadas por la firma de ciberseguridad en junio de 2017 han implicado la explotación de routers vulnerables para usarlos como servidores de comando y control (C&C).
Las cadenas de ataque típicas orquestadas por el actor de amenazas involucran el envío de correos electrónicos de spear-phishing con adjuntos cargados de puertas traseras para desplegar malware diseñado para recolectar datos sensibles.
En su último aviso, la CISA y otros llamaron la atención sobre el actor de amenazas por poseer capacidades para desarrollar malware personalizado y mecanismos de persistencia a medida para infiltrarse en dispositivos periféricos.
