Los expertos de BlackBerry han descubierto un ataque que ha permanecido invisible durante casi una década de varios grupos de hackers vinculados al gobierno chino, apuntando a sistemas Linux en particular.

A menudo sucede que la detección de un ataque lleva tiempo, pero la campaña descubierta por los especialistas en seguridad de BlackBerry debe clasificarse en la categoría no estándar. De hecho, durante casi una década, cinco grupos que operan en interés del gobierno chino han apuntado sistemáticamente a servidores Linux, sistemas Windows y dispositivos Android.

En el informe "Década de las RAT: ataques de espionaje APT multiplataforma dirigidos a Linux, Windows y Android", los expertos indican que los grupos APT han tenido como objetivo y con éxito a empresas de muchos sectores críticos a través de ataques multiplataforma a servidores utilizados para almacenar datos confidenciales. El objetivo de los ataques era robar propiedad intelectual. Se han centrado en los servidores Linux corporativos, viéndolos como "puente en la red" y que generalmente no están tan bien protegidos como otras infraestructuras clave. Los grupos se centraron en los entornos RHEL, CentOS y Ubuntu.

Ataques coordinados y sofisticados

El informe insiste en que los grupos APT (WINNTI GROUP, PASSCV, BRONZE UNION, CASPER (LEAD) y WLNXSPLINTER) actuaron de manera coordinada, confiando en herramientas multiplataforma y de código abierto. Este último punto toma una perspectiva particular con el desarrollo repentino y rápido del teletrabajo. "La propiedad intelectual permanece en los servidores de la compañía, que en su mayoría son Linux, y hay menos personas para mantener estos sistemas seguros", dijo Eric Cornelius, arquitecto jefe de productos de BlackBerry.

El informe detalla las técnicas utilizadas por los diferentes grupos. Para Linux, la cartera de malware incluye puertas traseras, RAT (troyano de acceso remoto), soporte de botnet para realizar DDoS en sistemas Linux (activo desde 2014). Para Android, uno de los grupos utilizó software que se parece mucho al código de una herramienta de prueba de penetración disponible comercialmente, Netwire. Sin embargo, este malware parece haber sido creado casi dos años antes del lanzamiento de la herramienta comercial. Finalmente, el estudio resalta el hecho de que los atacantes tienden a usar proveedores de servicios en la nube paracontrol (C2) y comunicaciones de exfiltración de datos que inicialmente parecen ser una red confiable.