Cazador contra espía: informe ‘Pacific Rim’ de Sophos detalla su operación frente a ciberdelincuentes con sede en China
Tras responder exitosamente a los ataques iniciales, los delincuentes intensificaron sus esfuerzos y recurrieron a operadores más experimentados. Descubrimos un vasto ecosistema de adversarios”, declararon desde la compañía.
Sophos, líder mundial en soluciones de seguridad innovadoras para combatir ciberataques, lanzó el informe “Pacific Rim”, que detalla su operación de defensa y contraataque a lo largo de los últimos cinco años frente a varios adversarios de Estados-nación con sede en China que apuntaron a dispositivos perimetrales, incluidos firewalls de Sophos.
Los atacantes ejecutaron campañas con exploits novedosos y malware personalizado para realizar espionaje, sabotaje y vigilancia cibernética, utilizando tácticas, herramientas y procedimientos similares a grupos de Estado chino bien conocidos como Volt Typhoon, APT31 y APT41. Los objetivos incluyeron infraestructura crítica y entidades gubernamentales en Asia del Sur y Sudeste, entre ellos proveedores de energía nuclear, un aeropuerto de capital nacional, un hospital militar, sistemas de seguridad estatal y ministerios centrales de gobierno.
A lo largo del informe «Pacific Rim», Sophos X-Ops, la unidad de inteligencia en ciberseguridad y amenazas de Sophos, trabajó para neutralizar los movimientos de los cibercriminales, mejorando continuamente las defensas y contraofensivas. Tras responder a los ataques iniciales, Sophos observó una escalada en los esfuerzos de los atacantes, quienes desplegaron operadores más experimentados. Esto permitió a Sophos descubrir un vasto ecosistema de adversarios.
Desde 2020, Sophos ha informado sobre campañas específicas, como Cloud Snooper y Asnarök, y hoy ofrece un análisis general de la investigación para alertar sobre la persistencia de los adversarios chinos y su enfoque en dispositivos perimetrales, sin soporte y con vulnerabilidades de fin de vida útil (EOL), a menudo mediante exploits de día cero creados para tales dispositivos. Sophos exhorta a las organizaciones a aplicar parches para vulnerabilidades en dispositivos con acceso a internet y migrar los equipos antiguos sin soporte. Los clientes de Sophos Firewall están protegidos a través de hotfixes rápidos que se aplican de forma predeterminada.
«La realidad es que los dispositivos perimetrales se han convertido en objetivos altamente atractivos para grupos de Estado-nación chinos como Volt Typhoon, que buscan construir cajas de retransmisión operativas (ORBs) para ocultar y facilitar sus actividades, ya sea atacando directamente una organización para espiar o aprovechando puntos débiles para ataques posteriores, afectando incluso a quienes no son objetivos directos. Los dispositivos de red empresariales son ideales: potentes, siempre conectados y con conexión constante,” comentó Ross McKerchar, CISO de Sophos.
Declaraciones sobre el informe Pacific Rim
«A través del JCDC, la CISA obtiene y comparte información crucial sobre los desafíos de ciberseguridad, incluyendo las tácticas avanzadas de actores cibernéticos de la República Popular China (RPC). Los socios como Sophos y sus informes, como el informe Pacific Rim, ofrecen a la comunidad global más insights sobre el comportamiento de la RPC,» comentó Jeff Greene, director ejecutivo adjunto de ciberseguridad en CISA.
Consejos para defensores
Sophos recomienda acciones para reforzar la postura de seguridad de las organizaciones, tales como minimizar los servicios y dispositivos con acceso a internet, priorizar parches, habilitar hotfixes automáticos, colaborar con socios público-privados y crear planes para dispositivos EOL.
Recursos adicionales sobre el informe Pacific Rim de Sophos
Obtén más información sobre el informe Pacific Rim de Sophos en: www.sophos.com/pacificrim. Registrarte en el webcast de Preguntas y Respuestas de Sophos sobre Pacific Rim que se realizará el jueves 7 de noviembre en: Sophos Webcast