Detección de Ataques APT Respaldados por China: Resistiendo la Creciente Sofisticación y Madurez de las Operaciones Ofensivas Patrocinadas por el Estado Chino Basadas en la Investigación del Grupo Insikt de Recorded Future
Tabla de contenidos:
En los últimos cinco años, las campañas ofensivas respaldadas por la nación china se han transformado en amenazas más sofisticadas, sigilosas y bien coordinadas en comparación con años anteriores. Esta transformación se caracteriza por la explotación extensiva de vulnerabilidades de día cero y conocidas en instancias de seguridad y redes accesibles públicamente. Además, hay un enfoque más fuerte en la seguridad operativa, destinado a reducir las señales de intrusión, que los atacantes logran aprovechando un conjunto de técnicas de evasión de detección del adversario respaldadas por LOLbins y redes de anonimización. El cambio en las operaciones ofensivas respaldadas por la nación china hacia una mayor sigilosidad y seguridad operativa ha dado lugar a un panorama de amenazas cibernéticas más intrincado y exigente para organizaciones en múltiples sectores industriales, incluido el sector público y la comunidad global de defensores cibernéticos.
Este artículo ofrece una visión sobre cómo China se ha convertido en la potencia cibernética líder a nivel mundial basada en el informe dedicado del Insikt Group de Recorded Future y proporciona a los defensores algoritmos de detección curados para defenderse proactivamente de los crecientes ataques por actores maliciosos patrocinados por el estado vinculados a China.
Detección de ataques APT respaldados por la nación china cubiertos en la investigación de Recorded Future
En la última década, los actores patrocinados por el estado respaldados por China han realizado un cambio significativo en la sofisticación de sus tácticas, técnicas y procedimientos ofensivos (TTP). Según la investigación del Insikt Group, los hackers chinos tienden a ser más estratégicos y sigilosos, confiando en vulnerabilidades de día cero y conocidas en dispositivos accesibles públicamente. También aprovechan redes de anonimización a gran escala compuestas por dispositivos IoT comprometidos o instalaciones de servidores privados virtuales junto con familias de código abierto y exploits para pasar desapercibidos y evitar identificación. Notablemente, se observa que los actores afiliados a China utilizan infraestructuras de inteligencia y ofensivas compartidas mientras intercambian continuamente conocimientos y experiencias.
Para actuar más rápido que los adversarios, los defensores cibernéticos deben colaborar para una mejor evaluación de riesgos y una priorización precisa, junto con estrategias relevantes de detección y mitigación. Confíe en la plataforma de SOC Prime para la defensa cibernética colectiva para obtener contenido de detección curado que aborde los TTP ampliamente utilizados por los grupos patrocinados por el estado chino.
Además, los profesionales de la seguridad pueden navegar por la plataforma de SOC Prime para obtener un stack de detección dedicado dirigido a identificar vulnerabilidades de día cero utilizadas por grupos respaldados por China. Simplemente siga el enlace a continuación y profundice en una extensa lista de reglas compatibles con 28 tecnologías SIEM, EDR, XDR y Data Lake, mapeadas al marco MITRE ATT&CK, y enriquecidas con CTI relevante y metadatos.
Para obtener la lista completa de reglas que abordan los TTP descritos en el informe del Insikt Group de Recorded Future, presione el botón Explorar Detecciones. Los profesionales de la seguridad pueden obtener inteligencia detallada acompañada por referencias ATT&CK y enlaces CTI para agilizar la investigación de amenazas y aumentar la productividad del SOC.
Análisis de la transformación de los ataques APT patrocinados por el estado chino basado en la investigación del Insikt Group
China ha estado llevando a cabo campañas maliciosas durante años, apuntando a organizaciones de EE.UU. y globales en varias industrias para recopilar inteligencia y datos sensibles, con ataques destructivos vinculados a grupos APT patrocinados por el estado como Mustang Panda or APT41.
El alcance mejorado de los ataques vinculados a China y su creciente sofisticación aumentan la necesidad de fortalecer la defensa cibernética colectiva para resistir a las fuerzas ofensivas coordinadas. A finales de la primavera de 2023, la NSA, CISA y la FBA, junto con otras autoridades de EE.UU. e internacionales, emitieron un aviso conjunto de ciberseguridad para aumentar la conciencia sobre un aumento en la actividad maliciosa atribuida al APT respaldado por la nación china conocido como Volt Typhoon y dirigido a la infraestructura crítica de EE.UU.
Las operaciones cibernéticas habilitadas por la nación china son llevadas a cabo principalmente por las divisiones militares, incluidas la Fuerza de Apoyo Estratégico del Ejército Popular de Liberación (PLASSF) y el Ministerio de Seguridad del Estado (MSS). En el último quinquenio, los grupos APT chinos han centrado principalmente sus esfuerzos en inteligencia militar y política, además de orientar su enfoque hacia el apoyo a objetivos estratégicos económicos y de política, y atacar amenazas internas percibidas, incluidas minorías étnicas y religiosas.
Los grupos de amenazas respaldados por China han cambiado significativamente su enfoque hacia la explotación de vulnerabilidades en sistemas de cara al público desde al menos 2021. Durante este período, se encontraron más del 85% de las vulnerabilidades de día cero explotadas por grupos patrocinados por el estado chino en sistemas de cara al público, incluidos cortafuegos, productos VPN empresariales, hipervisores, equilibradores de carga y productos de seguridad de correo electrónico. Entre las vulnerabilidades críticas explotadas por grupos sospechosos respaldados por la nación china están CVE-2023-22515 en Confluence Data Center y Server, una vulnerabilidad de Día Cero RCE en Citrix NetScaler rastreada como CVE-2023-3519, y CVE-2022-42475, una vulnerabilidad de día cero nefasta en Fortinet FortiOS SSL-VPN. Dada la migración continua de las organizaciones a entornos en la nube, es probable que en un futuro cercano haya un mayor énfasis en atacar estos entornos.
Además de armarse con vulnerabilidades de día cero y conocidas, los colectivos de hackers patrocinados por el estado chino adoptan masivamente redes de anonimización a gran escala para reconocimiento, explotación e infraestructuras C2. El cambio hacia una actividad de adversarios más sofisticada y sigilosa implica el uso de familias de malware de código abierto y exploits, así como muestras de malware personalizadas para software de cara al público para mantener la persistencia.
Como posibles medidas de mitigación proporcionadas por los investigadores del Insikt Group de Recorded Future , se recomienda a las organizaciones y usuarios individuales reducir la exposición a las vulnerabilidades con parches oportunos y priorizar continuamente las vulnerabilidades críticas, específicamente, fallas de seguridad RCE en entidades de cara al público. Seguir las mejores prácticas de segmentación de red, habilitar la autenticación multifactor y mantenerse constantemente al día con las actualizaciones y directrices para mitigar los TTP comunes relacionados con la actividad APT respaldada por China también son esenciales para que los defensores minimicen los riesgos de intrusiones.
En vista de la creciente sofisticación de las capacidades adversarias chinas respaldadas por el gobierno del país durante el último quinquenio, es muy probable que China fortalezca su posición en el frente cibernético al mejorar su guerra cibernética y ampliar el alcance de los ataques. Confíe en SOC Prime y acceda a más de 500 algoritmos de detección curados contra ataques APT actuales y emergentes de cualquier alcance y escala para reforzar continuamente su resiliencia cibernética.
