Los grupos de ciberespionaje están haciendo que sea más difícil detectar de dónde provienen sus ataques al aumentar el uso de redes proxy (conocidas como redes operativas de cajas de retransmisión u ORB) que pueden despistar a los defensores.
La empresa de seguridad cibernética Mandiant ha advertido que ha observado una tendencia creciente en las operaciones de espionaje respaldadas por China, en particular, a utilizar ORB para cubrir sus huellas.
Estas redes ORB son algo así como botnets y pueden estar compuestas por servidores privados virtuales (VPS), así como por dispositivos de Internet de las cosas (IoT) comprometidos y enrutadores inseguros. Esta combinación hace que a los defensores les resulte más difícil rastrear los ataques porque estos grupos pueden disfrazar el tráfico entre su infraestructura de comando y control y sus objetivos finales.
Las redes ORB son una de las principales innovaciones en el ciberespionaje chino que desafía a los defensores, dijo Michael Raggi, analista principal de Mandiant en Google Cloud.
“Son como un laberinto que se reconfigura continuamente y la entrada y la salida desaparecen del laberinto cada 60 a 90 días”, dijo. “Para atacar a alguien, estos actores pueden venir desde un enrutador doméstico que se encuentra al final de la calle. No es inusual que el enrutador doméstico de una persona totalmente involuntaria se vea involucrado en un acto de espionaje”.
Estas redes a menudo se construyen alquilando VPS y utilizando malware diseñado para atacar enrutadores y aumentar la cantidad de dispositivos capaces de transmitir tráfico. Debido a que la composición de estas redes cambia rápidamente, el uso de una red ORB hace que sea más difícil detectar ataques y atribuirlos a un grupo particular en términos de atribución.
Eso hace que los indicadores clásicos de compromiso (IOC, por sus siglas en inglés) –los detalles técnicos y las pistas comúnmente compartidas sobre los ataques– sean menos útiles porque estos grupos recorrerán regularmente la infraestructura de la red.
La escala de estas redes, dijo Mandiant, significa que los atacantes pueden aprovechar dispositivos que tienen una proximidad geográfica útil a las empresas objetivo. Eso permite que su tráfico malicioso se mezcle cuando los analistas lo revisan.
“Un ejemplo de ello sería el tráfico de un ISP residencial que se encuentra en la misma ubicación geográfica que el objetivo y que es utilizado regularmente por los empleados y que sería menos probable que fuera detectado para una revisión manual”, dice el informe de Mandiant.
Como resultado, afirmó la empresa de seguridad, los equipos de seguridad empresarial deberían cambiar su forma de pensar. Eso significa que en lugar de tratar las redes ORB simplemente como parte de la infraestructura utilizada por los atacantes, deberían rastrear los ORB “como entidades en evolución similares a APT”. [advanced persistent threat] grupos”.
Las redes ORB no son un invento nuevo y se han utilizado regularmente como parte de campañas de espionaje para ocultar quién es el atacante y dónde se encuentra. Pero Mandiant dijo que el uso de estas redes por parte de actores de espionaje respaldados por China se ha vuelto más común en los últimos años.
Estos ORB son redes de infraestructura administradas por contratistas u otros dentro de China. No están controlados por un único grupo de espionaje o piratería de la APT, sino que se comparten entre ellos, lo que, según Mandiant, significa que múltiples actores de la APT utilizarán las redes ORB para llevar a cabo su propio espionaje y reconocimiento.
Esta infraestructura cambia con frecuencia: la vida útil de una dirección IPv4 asociada con un nodo ORB puede ser tan corta como 31 días. Mandiant dijo que un diferenciador competitivo entre los contratistas de redes ORB en China parece ser su capacidad de reciclar mensualmente porcentajes significativos de su infraestructura comprometida o arrendada.
Eso significa que simplemente bloquear la infraestructura vinculada a una red ORB en un momento determinado no será tan efectivo como lo era antes. “Como resultado, la extinción del COI se está acelerando y la vida útil de los indicadores de la red está disminuyendo”, dijo Mandiant.
“La infraestructura o el dispositivo enrutador comprometido que se comunica con el entorno de la víctima ahora puede ser identificable para una red ORB en particular, mientras que el actor que utiliza esa red ORB para llevar a cabo el ataque puede no estar claro y requerir una investigación de las complejas herramientas y tácticas observadas como parte del ataque. una intrusión”, decía el informe.
John Hultquist, analista jefe de Mandiant, Google Cloud, añadió: “El ciberespionaje chino alguna vez fue ruidoso y fácilmente rastreable. Este es un nuevo tipo de adversario”.
Los nodos de una red ORB suelen estar distribuidos globalmente. Mandiant da el ejemplo de uno que rastrea como ORB3 o Spacehop, que describió como una red muy activa utilizada por múltiples grupos respaldados por China.
Utiliza un servidor de retransmisión alojado en Hong Kong o China por proveedores de nube, mientras que los nodos de retransmisión suelen ser imágenes clonadas basadas en Linux, que se utilizan para enviar tráfico de red malicioso a través de la red a un nodo de salida que se comunica con los entornos de las víctimas específicas.
Mandiant dijo que era notable que esta red tuviera un “gran volumen” de nodos en Europa, Medio Oriente y Estados Unidos, todas las cuales son regiones objetivo de APT15 y ATP5, respaldados por China.
Por el contrario, otra red que Mandiant rastrea (conocida como ORB2 o Florahox) también presenta enrutadores de red y dispositivos IOT comprometidos. La red parece contener varias subredes compuestas por dispositivos comprometidos reclutados por el implante de enrutador conocido como Flowerwater.
Mandiant dijo que todo esto crea un problema para los defensores, porque en lugar de simplemente bloquear la infraestructura asociada con los atacantes, ahora tienen que considerar qué infraestructura es parte de la red ORB en este momento, por cuánto tiempo y quién está usando la red ORB.
Mandiant agregó que la mejor manera de enfrentar el desafío que plantean las redes ORB es dejar de rastrear la infraestructura de comando y control de espionaje como un indicador inerte de compromiso y comenzar a rastrearla como una entidad en sí misma.
“En cambio, la infraestructura es un artefacto vivo de una red ORB que es una entidad distinta y en evolución donde las características de la infraestructura IP en sí, incluidos puertos, servicios y datos de registro/alojamiento, pueden ser rastreadas como comportamiento en evolución por parte del administrador adversario responsable de esa red ORB”, dijo Mandiant.
Advirtió que el auge de la industria ORB en China apunta a inversiones a largo plazo para equipar las operaciones cibernéticas respaldadas por China con tácticas y herramientas más sofisticadas.
“Que los defensores estén a la altura de este desafío depende de que las empresas apliquen el mismo enfoque táctico profundo al seguimiento de las redes ORB que se ha hecho para las APT durante los últimos 15 años”, dijo Mandiant.