El grupo de amenazas persistentes avanzadas (APT) Winnti llevó a cabo una campaña de hacking de espionaje cibernético “sofisticada y esquiva” dirigida a la información confidencial patentada de las empresas de tecnología y fabricación, en una operación que pasó desapercibida durante años, dice un informe.
La investigación de la firma de seguridad cibernética Cybereason encontró que la campaña de Winnti, denominada Operación CuckooBees, se desarrolló al menos desde 2019 hasta 2021, y vio al grupo APT vinculado al estado chino apuntar a empresas en el este de Asia, Europa occidental y América del Norte.
Cybereason ha publicado un informe de dos partes sobre la campaña, la primera examina las tácticas y técnicas de Winnti y la segunda proporciona un análisis más profundo del malware y los exploits utilizados.
Dijo que Winnti se había afianzado inicialmente en los sistemas de las empresas a través de vulnerabilidades en una popular plataforma de planificación de recursos empresariales (ERP) sin nombre, y los atacantes luego implementaron un shell web para realizar el reconocimiento y el volcado de credenciales que les dio movimiento lateral a través de la red.
“Con años para llevar a cabo un reconocimiento subrepticio e identificar datos valiosos, se estima que el grupo logró filtrar cientos de gigabytes de información”, dijo Cybereason en una publicación de blog. “Los atacantes se dirigieron a la propiedad intelectual desarrollada por las víctimas, incluidos documentos confidenciales, planos, diagramas, fórmulas y datos de propiedad relacionados con la fabricación.
“Además, los atacantes recopilaron información que podría usarse para futuros ataques cibernéticos, como detalles sobre las unidades comerciales de la empresa objetivo, la arquitectura de la red, las cuentas y credenciales de los usuarios, los correos electrónicos de los empleados y los datos de los clientes”.
El grupo Winnti, también conocido como APT41, Blackfly y BARIUM, ha estado activo desde 2010 y, según Cybereason, pudo desviar cantidades masivas de datos corporativos y propiedad intelectual utilizando malware previamente no documentado.
Dijo que este malware incluía rootkits a nivel de kernel firmados digitalmente y una elaborada cadena de infección de múltiples etapas que, a pesar de tener una probabilidad mucho mayor de colapsar debido a la interdependencia de cada componente, agregó “un nivel adicional de seguridad y sigilo” que permitió el operación permanecerá sin ser detectada desde al menos 2019.
La nueva cepa de malware expuesta por Cybereason se llama DEPLOYLOG, que se usó junto con versiones más nuevas del malware Winnti ya conocido, incluidos Spyder Loader, PRIVATELOG y WINNKIT.
Cybereason dijo que un abuso rara vez visto del mecanismo del Sistema de archivos de registro comunes de Windows (CLFS), así como la manipulación de Winnti del Sistema de archivos de nueva tecnología (NTFS) de Microsoft, también ayudaron al grupo APT a ocultar sus cargas útiles y evadir la detección de los productos de seguridad tradicionales.
“CLFS emplea un formato de archivo patentado que no está documentado y solo se puede acceder a través de las funciones de la API de CLFS”, dijo. “En el momento de redactar este informe, no existe ninguna herramienta que pueda analizar los registros vaciados. Este es un gran beneficio para los atacantes, ya que hace que sea más difícil examinarlos y detectarlos mientras usan el mecanismo CLFS”.
Debido a la complejidad, el sigilo y la sofisticación de los ataques, fue difícil estimar el número exacto de empresas afectadas por la Operación CuckooBees, dijo Cybereason. “A lo largo de los años, ha habido múltiples informes y el Departamento de Justicia de EE. UU. [DoJ] acusaciones que vinculan a Winnti con operaciones de robo de propiedad intelectual a gran escala. Los investigadores de Cybereason creen que docenas de otras empresas se vieron potencialmente afectadas por esta u otras campañas similares realizadas por Winnti”, dijo.
“El ciberespionaje no suele generar el mismo grado de pánico o atención de los medios que otros ciberataques, pero la falta de atención no lo hace menos peligroso. Una campaña maliciosa que roba silenciosamente propiedad intelectual durante años es excepcionalmente costosa y puede tener repercusiones en los años venideros”.
En septiembre de 2020, el Departamento de Justicia acusó a cinco ciudadanos chinos y dos de Malasia en relación con los ataques de Winnti dirigidos a más de 100 organizaciones en todo el mundo.
Los ataques se dirigieron a desarrolladores de software y fabricantes de hardware informático, empresas de telecomunicaciones, plataformas de redes sociales, empresas de videojuegos, organizaciones sin fines de lucro, universidades, grupos de expertos y agencias gubernamentales, así como a miembros del movimiento prodemocrático de Hong Kong. Se entiende que las agencias gubernamentales del Reino Unido fueron atacadas, pero no comprometidas con éxito, durante la campaña.
El Departamento de Justicia dijo que las intrusiones de Winnti también facilitaron otros esquemas criminales, incluido el despliegue de ransomware contra objetivos y criptominería ilícita. Los cargos contra el grupo incluyen conspiración, fraude electrónico, robo de identidad agravado, lavado de dinero y violaciones de la Ley de Abuso y Fraude Informático.