Un Larga Batalla en Ciberseguridad
Durante años, ha sido una verdad incómoda en la industria de la ciberseguridad que los dispositivos de seguridad de red vendidos para proteger a los clientes de espías y ciberdelincuentes son, a menudo, las máquinas que esos intrusos hackean para acceder a sus objetivos. Vulnerabilidades en dispositivos de “perímetro” como firewalls y aparatos VPN se han convertido en puntos de entrada para hackers sofisticados que intentan infiltrarse en los sistemas que esos equipos estaban diseñados para proteger.
Diez Años de Conflicto con Hackers Chinos
Ahora, un proveedor de ciberseguridad está revelando la intensidad y duración de su batalla con un grupo de hackers que han intentado explotar sus productos para su propio beneficio. Durante más de cinco años, la firma de ciberseguridad británica Sophos participó en un juego del gato y el ratón con un equipo poco conectado de adversarios que se dirigieron a sus firewalls. La empresa llegó a rastrear y monitorear los dispositivos específicos en los que los hackers estaban probando sus técnicas de intrusión, vigilando a los hackers en acción y, finalmente, rastreando ese esfuerzo de explotación de años a una única red de investigadores de vulnerabilidad en Chengdu, China.
Informes Reveladores
El jueves, Sophos documentó esa guerra de medio siglo con esos hackers chinos en un informe que detalla su escalada de enfrentamientos. La empresa incluso instaló de manera discreta sus propios “implantes” en los dispositivos Sophos de los hackers para monitorear y prevenir sus intentos de explotar sus firewalls. Los analistas de Sophos pudieron obtener de las máquinas de prueba de los hackers una muestra de malware “bootkit” diseñado para esconderse de manera indetectable en el código de bajo nivel de los firewalls utilizado para iniciar los dispositivos, un truco que nunca se había visto en el ámbito real.
Estrategias de Infiltración de los Hackers
En el proceso, los analistas de Sophos identificaron una serie de campañas de hacking que comenzaron con una explotación masiva indiscriminada de sus productos, pero que eventualmente se volvieron más sigilosas y específicas, atacando proveedores y reguladores de energía nuclear, objetivos militares, incluidas un hospital militar, telecomunicaciones, agencias gubernamentales y de inteligencia, y el aeropuerto de una capital nacional. Aunque la mayoría de los objetivos —que Sophos se negó a identificar con más detalle— estaban en Asia del Sur y del Sudeste, un número menor se encontraba en Europa, el Medio Oriente y los Estados Unidos.
Conclusión Sobre Vulnerabilidades en Productos de Seguridad
El informe de Sophos relaciona esas múltiples campañas de hacking, con niveles variados de confianza, a grupos de hackers patrocinados por el estado chino, incluidos los conocidos como APT41, APT31 y Volt Typhoon, este último un equipo particularmente agresivo que ha tratado de interrumpir infraestructuras críticas en Estados Unidos. Sophos afirma que es significativo contar esta historia no solo para ofrecer un vistazo a la investigación y desarrollo de hacking en China, sino también para romper el incómodo silencio de la industria de la ciberseguridad sobre la problemática más amplia de las vulnerabilidades en los dispositivos de seguridad que sirven como puntos de entrada para los hackers. En el último año, fallas en productos de seguridad de otros proveedores, incluidos Ivanti, Fortinet, Cisco y Palo Alto, han sido explotadas en campañas masivas de hacking o intrusiones específicas.
Fuente y créditos: www.wired.com
Cats: Security
