En todo el mundo y a pesar de las preocupaciones durante una década de que los grupos vinculados a China han tenido la intención o la capacidad de apuntar a la infraestructura crítica, los informes sobre cómo atacar la infraestructura crítica para la interrupción de los grupos chinos son raros
Una falla en la red el 12 de octubre del año pasado provocó un corte de energía importante en Mumbai y sus alrededores, lo que afectó el suministro de electricidad, los trenes locales, etc. Se necesitaron horas para que el suministro de energía se restableciera gradualmente de manera gradual. En ese momento, el ministro de energía de Maharashtra, Nitin Raut, había dicho a los medios: "Hubo isla (un fenómeno que ve un generador distribuido alimentando una ubicación aunque la energía de la red eléctrica ya no está presente) en Mumbai que no debería haber sucedido … Esto es la razón por la que se sospecha la posibilidad de sabotaje ".
En los meses transcurridos desde entonces, el ministro de Estado de la Unión (cargo independiente) para el poder, RK Singh, ha sugerido que el apagón fue el resultado de un “ error humano '', mientras que el ministro del Interior de Maharashtra, Anil Deshmukh, citando un informe preliminar de la Cibercelular de la Policía de Maharashtra, ha afirmó que fue un acto de sabotaje cibernético lo que condujo a los hechos del 12 de octubre. El informe completo de la célula cibernética se entregará a finales de este mes.
El 28 de febrero de este año, la empresa de ciberseguridad Recorded Future, con sede en Massachusetts, publicó un informe titulado 'El grupo RedEcho vinculado a China se dirige al sector eléctrico indio en medio de tensiones fronterizas elevadas' que apunta a la entrada de malware chino en los sistemas de infraestructura crítica de la India que administran suministro de electricidad. El informe identifica a RedEcho, un grupo de amenazas persistentes avanzadas (APT) con sede en China, como la entidad detrás de los intentos de infiltrarse en las redes eléctricas de India.
RedEcho y la amenaza china
"Creemos que RedEcho es un grupo vinculado a China debido a una confluencia de factores técnicos y no técnicos", dijo el equipo de investigación de Recorded Future, el Grupo Insikt*, le dice a Firstpost en una interacción por correo electrónico: "Desde una perspectiva técnica, la actividad presenta fuertes superposiciones técnicas con grupos conocidos patrocinados por el Estado chino, incluido el uso de la infraestructura AXIOMATICASYMPTOTE y el malware ShadowPad, que creemos que es exclusivo de los grupos patrocinados por el Estado chino. "
Hay mucho que desempacar aquí, y nos ocuparemos de cada parte en breve, pero por ahora, señala el Grupo Insikt, "La) orientación de estas organizaciones ofrece oportunidades limitadas de espionaje económico y su orientación probablemente respalde la política a nivel nacional de China. objetivos. Finalmente, el ataque tuvo lugar durante un período de intensas tensiones diplomáticas y violencia ocasional a lo largo de la frontera entre India y China ".
Para aquellos que no lo saben, AXIOMATICASYMPTOTE es el nombre de Recorded Future para un grupo de servidores que se utilizan para realizar actividades de intrusión dirigidas de grupos de amenazas vinculados a China. El Grupo Insikt explica: "Estos servidores se detectan a través de un método patentado de huellas dactilares, que incluye servidores que se han utilizado para administrar infecciones de ShadowPad en el pasado. ShadowPad es una familia de malware que, según se informa, ha sido utilizada por al menos cinco diferentes países patrocinados por el Estado chino grupos ".
Volviendo al tema de la India, el informe Recorded Future establece que desde principios de 2020, se ha observado un gran aumento en la actividad de intrusión dirigida contra organizaciones indias de grupos patrocinados por el Estado chino. Según el Grupo Insikt, "Recorded Future realiza un seguimiento proactivo de la creación y el uso de la infraestructura de Internet utilizada por los actores de las amenazas cibernéticas a través de un método que llamamos Detección de Infraestructura Adversaria. Esto, combinado con el Análisis de Tráfico de Red a gran escala, nos permite detectar actividades sospechosas en todo Internet que emana de la infraestructura del actor de amenazas. Estos puntos de datos nos permiten producir inteligencia relacionada con la actividad de amenazas patrocinadas por el Estado y los delincuentes cibernéticos ".
Esta vez, Recorded Future identificó servidores, con huellas digitales como AXIOMATICASYMPTOTE, en comunicación sostenida y regular con múltiples dispositivos en al menos 10 organizaciones diferentes del sector eléctrico de la India y dos puertos marítimos de la India. El siguiente mapa muestra la ubicación de estos 12 sistemas críticos y el alcance de su influencia.
Las presuntas víctimas del sector eléctrico indio de RedEcho se dirigieron a intrusiones. Fuente de la imagen: Futuro grabado, datos del mapa © 2022 Google
La investigación de Insikt Group indica que la comunicación entre los servidores de RedEcho y una de estas entidades objetivo, el puerto VO Chidambaranar en Tamil Nadu, se observó hasta la semana pasada. Sin embargo, el grupo señala: "No hemos observado ninguna comunicación relacionada con ninguna de las entidades objetivo enumeradas en la investigación de RedEcho desde el 2 de marzo".
Apagón en Mumbai: ¿ciberataque o error humano?
Como se indica en el informe, Insikt Group reitera que "(cualquier) vínculo entre el apagón de octubre de 2020 en Mumbai y las intrusiones dirigidas a la red RedEcho siguen sin estar fundamentadas". El 10 de febrero se notificó al Gobierno de la India sobre la investigación de RedEcho del grupo y "se recibió una respuesta afirmativa acusando recibo de nuestra notificación en unos pocos días", dice el Grupo Insikt de Recorded Future.
Como se mencionó al principio, el Ministerio de Energía de la Unión ha culpado a un error humano por el apagón de Mumbai y no por un ataque cibernético, mientras que el Ministerio del Interior del estado lo ha calificado de acto de sabotaje cibernético.
"Tenemos entendido que el apagón de Mumbai todavía está siendo investigado por la Cyber Cell de Maharashtra (de la policía) y que se publicará un informe sobre el incidente en algún momento de marzo. El análisis de RedEcho de Recorded Future reveló una campaña dirigida generalizada dirigida a 10 organizaciones del sector eléctrico, pero no vimos ninguna actividad maliciosa dirigida al Centro de Despacho de Carga del Estado de Maharashtra. Por esa razón, no podemos especular sobre ningún reclamo atribuible con respecto a ese incidente específico sin ningún dato técnico o evidencia relevante ", el Insikt Grupo aclara.
En otras palabras, RedEcho, un grupo vinculado a China, ha realizado intrusiones específicas en al menos 12 sistemas críticos en India, pero el apagón de Mumbai, al momento de escribir este artículo, no puede vincularse de manera concluyente al grupo o al Estado detrás de él. . Pero eso no significa que no pueda suceder en el futuro.
India en la mira
El informe describe que en el período previo a las escaramuzas de mayo de 2020 entre el Ejército de la India y el Ejército de Liberación Popular en el Valle de Galwan de Ladakh, un aumento notable en el 'aprovisionamiento de la infraestructura C2 del malware PlugX, gran parte de la cual se utilizó posteriormente en actividades de intrusión dirigidas a organizaciones indias ». Qué significa todo esto?
Para empezar, PlugX es un troyano de acceso remoto (RAT) utilizado por varios grupos de amenazas vinculados a China desde al menos 2008. El Grupo Insikt también señala que varios grupos APT patrocinados por el estado chino han utilizado PlugX en sus intrusiones específicas a lo largo de los años. con el malware evolucionando significativamente a lo largo, lo que indica que se está realizando un esfuerzo de desarrollo sostenido. Desde 2008, ha habido cientos de informes sobre el uso de PlugX por grupos patrocinados por el Estado chino para llevar a cabo intrusiones dirigidas contra una amplia variedad de organizaciones en todo el mundo, incluidas entidades del Vaticano y de la Iglesia Católica, ONG en Hong Kong y servicios de seguridad gestionados a nivel mundial. proveedores (MSSP).
"El uso generalizado de PlugX en un perfil de selección variado demuestra claramente que es una herramienta preferida para la actividad de recopilación de inteligencia china", agrega el Grupo Insikt. "A lo largo de 2020, observamos un aumento notable en la selección de organizaciones indias de China. -grupos vinculados que utilizan malware como PlugX. Las presuntas víctimas incluyen entidades dentro de los sectores de energía, defensa y transporte de la India, así como departamentos gubernamentales ".
Las implicaciones del aumento en la actividad de PlugX dirigida a entidades indias en 2020 se alinean con las crecientes tensiones bilaterales entre India y China derivadas de las escaramuzas fronterizas en mayo del año pasado. Al igual que con las provocaciones en la Línea de Control Real, la actividad de ciberespionaje chino generalmente se alinea con las directivas políticas del Partido Comunista Chino y, por lo tanto, Recorded Future evalúa que el aumento de los objetivos de las organizaciones indias es una señal que indica una mayor prioridad en la recopilación de inteligencia sobre los activos indios.
"No hay evidencia actual que sugiera que RedEcho empleó una capacidad para apuntar a los sistemas de control industrial (ICS) utilizados para el control físico de la infraestructura", dice el grupo de investigación de Recorded Future, pero advierte: "Sin embargo, es plausible que el grupo pueda usar el mismo técnicas demostradas contra el sector eléctrico de la India y dos puertos marítimos para preposicionar, señalar o potencialmente realizar actividades de intrusión relacionadas con la habilitación de operaciones de información contra otras redes de infraestructura crítica que están conectadas a Internet ".
El informe del 28 de febrero señala "un fuerte enfoque en la selección de organizaciones del sector privado indio por parte de múltiples grupos de actividades de amenazas patrocinados por el Estado chino". A una solicitud de los nombres de algunas de estas organizaciones del sector privado o los sectores en los que operan, el Grupo Insikt dice: "Aparte de los nombres de las organizaciones enumeradas en nuestra investigación de RedEcho, como NTPC, no podemos nombrar a indios específicos. empresas atacadas por grupos de amenazas patrocinados por el Estado chino con fines de confidencialidad ".
Cómo Recorded Future localiza las amenazas
En todo el mundo y a pesar de las preocupaciones durante una década de que los grupos vinculados a China han tenido la intención o la capacidad de apuntar a la infraestructura crítica, los informes sobre cómo atacar la infraestructura crítica para la interrupción de grupos chinos son raros. Sin embargo, el Grupo Insikt dice que han surgido varios informes de grupos chinos como APT41 / Barium que apuntan a entidades de petróleo y gas con fines de espionaje y potencialmente de reconocimiento.
Recorded Future rastrea varias docenas de grupos que abarcan China, Rusia, Corea del Norte, Irán y otros países, así como los principales grupos de delitos cibernéticos. "En la actualidad, contamos con Detecciones de Infraestructura Adversaria para más de 80 familias de malware distintas, lo que nos permite identificar la actividad sospechosa de intrusión en la red a través de nuestra visibilidad", dice el Grupo Insikt, "Atribuir la actividad de la amenaza a un grupo específico es un proceso complejo: utilizamos el modelo de diamante de análisis de intrusiones para agrupar la evidencia recopilada de puntos de datos técnicos específicos con el fin de agrupar la actividad de las amenazas. Estos puntos de datos incluyen distintos artefactos de malware, direcciones IP, dominios y URL utilizados como infraestructura para intrusiones, así como el perfil de la victimología de un campaña o ataque específico junto con cualquier indicación técnica de la identidad del adversario (direcciones de correo electrónico, identificadores de redes sociales, etc.) ".
"Todos estos datos se compilan en observaciones discretas y se agrupan en grupos que nos permiten realizar un seguimiento de las amenazas a lo largo del tiempo y atribuir la actividad a los grupos. Si nuestras observaciones se superponen con otros grupos de los que se informa públicamente, eso nos permite evaluar la atribución y los vínculos. a esos grupos ", añade el Grupo Insikt.
* El entrevistado solicitó el anonimato y eligió ser identificado como Grupo Insikt de Recorded Future, ya que todas las respuestas se dieron en nombre de la unidad de investigación.
Suscríbase a Moneycontrol Pro a ₹ 499 durante el primer año. Utilice el código PRO499. Oferta por tiempo limitado. * Se aplican los términos y condiciones
Via: FirstPost
