Los actores de amenazas que operan a instancias de patrocinadores gubernamentales tienen muchas más probabilidades de estar detrás de la explotación de vulnerabilidades de día cero recientemente reveladas que los ciberdelincuentes con motivación financiera, según un análisis producido conjuntamente por el Grupo de Análisis de Amenazas (TAG) de Google y Mandiant de Google Cloud.
TAG y Mandiant observaron 97 días cero explotados en la naturaleza durante el transcurso de 2023, frente a 62 en 2022, pero menos que los 106 observados en 2021.
Los analistas dijeron que de los 58 días cero a los que podían atribuir las motivaciones del actor de la amenaza, 48 de ellos eran atribuibles a grupos de amenazas persistentes avanzadas (APT) respaldados por el gobierno que llevaban a cabo actividades de espionaje, mientras que sólo 10 eran atribuibles a ciberdelincuentes con motivación financiera. , generalmente bandas de ransomware.
Entre las cuatro principales operaciones de piratería estatal percibidas como hostiles al Reino Unido, Estados Unidos y otros países occidentales (China, Irán, Corea del Norte y Rusia), fueron los operadores chinos quienes abrieron el camino, explotando casi el doble de días cero el año pasado que lo hicieron en 2022, y representan poco más del 40% de toda la explotación atribuible.
La advertencia de Google sobre la actividad cibernética china se produce pocos días después de que los gobiernos británico y estadounidense sancionaran a múltiples entidades y emitieran nuevas advertencias sobre los ataques a políticos y empresas por parte de piratas informáticos chinos con la intención de robar secretos de estado y propiedad intelectual.
Sus hallazgos sugieren que al priorizar la respuesta a las revelaciones de vulnerabilidades, aquellas organizaciones consideradas con mayor riesgo de interferencia estatal maliciosa, como organismos gubernamentales, universidades e instituciones de investigación, y operadores de infraestructura nacional crítica (CNI), deberían prestar especial atención.
“En consonancia con los dos años anteriores, atribuimos a la República Popular China una mayor explotación de las vulnerabilidades de día cero respaldada por el gobierno. [People’s Republic of China] “Hay más atacantes respaldados por el gobierno que cualquier otro estado”, escribieron los autores del informe, Maddie Stone, Jared Semrau y James Sadowski.
“Mandiant informó ampliamente sobre varias campañas de explotación generalizadas, incluida la explotación por parte de UNC4841 de dos vulnerabilidades en Email Security Gateway de Barracuda: CVE-2023-2868 y CVE-2023-7102.
“El actor mostró interés específico en información de interés político o estratégico para el gobierno de la República Popular China, dirigida a gobiernos y organizaciones globales en industrias de alta prioridad”, dijeron. “Además, observamos un interés específico en los dominios de correo electrónico y en los usuarios de los Ministerios de Relaciones Exteriores de los países miembros de la ASEAN, así como en personas dentro de las oficinas de comercio exterior y organizaciones de investigación académica en Taiwán y Hong Kong”.
Otros días cero de particular interés para los ciberespías chinos en los últimos meses han incluido CVE-2022-41328 en Fortinet FortiOS, que fue encadenado con una vulnerabilidad de omisión de autenticación de VMware, CVE-2023-20867, por un grupo rastreado por Mandiant como UNC3886. UNC3886 también aprovechó en gran medida otro problema de VMware, CVE-2023-34048, como precursor de la explotación de la falla de omisión de autenticación.
Stone, Semrau y Sadowski señalaron que en ambos casos, la explotación de las dos cadenas de vulnerabilidad se remonta a más de 12 meses (y hasta 2021 en el segundo caso), lo que demuestra cómo los actores de amenazas chinos son muy hábiles tanto para descubrir como para explotar nuevos días cero. y mantenerlos en secreto con éxito durante un período de tiempo significativo.
El foco en China no debería distraer la atención de las actividades de ciberespionaje de Rusia y Corea del Norte –que no fueron insignificantes– y 2023 también fue notable por el surgimiento de un grupo APT bielorruso, conocido como Winter Vivern. Esta es la primera vez que se observa a un actor bielorruso utilizando días cero, aunque dado que Bielorrusia es esencialmente un estado vasallo de Rusia, es difícil afirmar hasta qué punto Winter Vivern está operando de forma independiente.
En cuanto a los delitos cibernéticos con motivación financiera, que representaron el 17% de la explotación de día cero (menos que en 2022), un grupo, FIN11, representó casi un tercio de la explotación con motivación financiera observada el año pasado, habiendo invertido mucho en días cero durante varios años.
FIN11 está vinculado a múltiples operaciones prolíficas de ransomware, en particular Clop/Cl0p y operadores anteriores relacionados, pero otras bandas, incluidas Akira, LockBit y Nokoyawa, también están, o han estado, muy involucradas en la explotación de día cero.
“Dados los grandes recursos invertidos en identificar y explotar vulnerabilidades de día cero, es muy probable que los actores de amenazas con motivación financiera den prioridad al uso de vulnerabilidades que proporcionen acceso eficiente a las organizaciones objetivo”, escribieron Stone, Semrau y Sadowski.
“FIN11 se ha centrado en gran medida en aplicaciones de transferencia de archivos que brindan acceso eficiente y efectivo a datos confidenciales de las víctimas sin la necesidad de un movimiento lateral de la red, simplificando los pasos para la exfiltración y la monetización”, dijeron. “Posteriormente, los grandes ingresos generados por la extorsión masiva o las campañas de ransomware probablemente impulsen una inversión adicional por parte de estos grupos en nuevas vulnerabilidades”.
Operaciones comerciales de software espía
Una de las grandes historias cibernéticas de los últimos tres años ha sido la exposición de las actividades de los proveedores comerciales de software espía (CSV), empresas legítimas que desarrollan y venden herramientas de vigilancia cibernética a los gobiernos.
El CSV más notable que ha surgido en la década de 2020 es el ahora deshonrado NSO Group, con sede en Israel, que apunta a dispositivos Apple que ejecutan el sistema operativo iOS y cuyo software estuvo implicado en el asesinato del periodista saudí Jamal Khashoggi, así como de muchos otros. actividades desagradables por parte de varios gobiernos, incluidos los occidentales.
Como patrocinador del sistema operativo móvil rival Android, Google tiene un interés particular en hacer frente a los CSV, y los datos de TAG/Mandiant mostraron que, al igual que las APT respaldadas por el estado, los CSV estuvieron detrás de más del 40% de la actividad de explotación de día cero en 2023, y más del 75% de toda la actividad dirigida a sus productos y dispositivos del ecosistema Android, y el 55% a iOS y Safari.
“La industria de la vigilancia comercial ha surgido para llenar un lucrativo nicho de mercado: vender tecnología de punta a gobiernos de todo el mundo que explotan vulnerabilidades en dispositivos y aplicaciones de consumo para instalar subrepticiamente software espía en dispositivos individuales”, escribieron los autores del informe. “Al hacerlo, los CSV están permitiendo la proliferación de herramientas de piratería peligrosas.
“Los CSV operan con una profunda experiencia técnica para ofrecer herramientas de ‘pago por uso’ que agrupan una cadena de exploits diseñada para superar las defensas de un dispositivo seleccionado, el software espía y la infraestructura necesaria, todo para recopilar los datos deseados del dispositivo de un individuo. ,” ellos dijeron.
“Los clientes gubernamentales que compran las herramientas quieren recopilar varios tipos de datos sobre sus objetivos de mayor valor, incluidas contraseñas, mensajes SMS, correos electrónicos, ubicación, llamadas telefónicas e incluso grabar audio y video. Para recopilar estos datos, los CSV suelen desarrollar software espía dirigido a dispositivos móviles. En particular, no pudimos atribuir ningún día cero de Windows a los archivos CSV”.
Días cero en 2024
De cara a los próximos meses, el equipo de TAG/Mandiant evalúa que el ritmo de descubrimiento y explotación de día cero se mantendrá elevado por encima de los niveles anteriores a Covid, pero independientemente de cuántos surjan, está claro que la industria de la seguridad está teniendo un impacto colectivo, con Los proveedores de plataformas de usuario (Apple, Google y Microsoft entre ellos) han realizado inversiones notables que parecen estar teniendo un impacto en los tipos y la cantidad de días cero “disponibles” para su explotación.
Sin embargo, señalaron, esto puede llevar en última instancia a que los actores de amenazas lancen una red más grande y apunten a más productos y servicios para llamar la atención, en particular aquellos producidos por empresas de seguridad cibernética. Las tendencias recientes, incluidos los ataques orquestados a través de las vulnerabilidades de Barracuda, Cisco, Ivanti y Trend Micro, parecen demostrar que esto ya está sucediendo. Los investigadores también observaron un aumento en la explotación de los días cero en componentes extraídos de bibliotecas de terceros: una prueba más de este enfoque cada vez mayor.
“Anticipamos que el crecimiento que hemos visto en los últimos años probablemente continuará, a medida que los proveedores continúen haciendo que otras vías de compromiso sean menos accesibles y los actores de amenazas concentren recursos cada vez mayores en la explotación de día cero”, dijeron. “La mayor proliferación de tecnología también ha hecho que la explotación de día cero sea más probable: en pocas palabras, más tecnología ofrece más oportunidades de explotación.
“Si bien hay motivos para ser optimistas, corresponde a la industria en su conjunto continuar aprendiendo estas lecciones y hacer las cosas que necesitamos para tener éxito: compartir las lecciones aprendidas sobre cómo parchear de manera más inteligente y no más difícil, revelar actividades que puede tener impactos tanto en los usuarios como en las empresas, y estar preparado y ser lo suficientemente flexible para actuar rápidamente para acortar la vida útil y la viabilidad de estos exploits”.