Aunque el gobierno de Australia no lo ha confirmado, el ataque a diversas entidades del país podría provenir de China, ya que se ha hecho uso de un malware asociado a un grupo de delincuentes chinos.
A finales de la semana pasada, el gobierno de Australia afirmó que la actividad maliciosa contra redes de agencias y compañías australianas había aumentado de forma considerable. El primer ministro, aunque no ha atribuido el ataque a ningún grupo o país concreto, sí que ha dejado ver en sus declaraciones que detrás del ataque podría haber no un grupo de delincuentes en particular, sino un Estado.
Como vector de entrada a la infraestructura comprometida los atacantes parecen haber estado utilizando diferentes vulnerabilidades de ejecución de código remoto. En concreto, se han usado vulnerabilidades en Telerik UI (CVE-2019-18935, CVE-2017-9248, CVE-2017-11317, CVE-2017-11357), para las que existe de forma pública el código de explotación de las mismas.
También hay evidencias de la explotación de una vulnerabilidad de deserialización en Microsoft Internet Information Services (IIS), que permitió a los atacantes subir una ‘web shell’ al sistema comprometido. Además, también se utilizaron vulnerabilidades en Microsoft SharePoint (CVE-2019-0604) y Citrix (CVE-2019-19781).
Pero los atacantes no utilizaron solo vulnerabilidades de seguridad para comprometer los sistemas. En el caso de que los servicios a atacar no presentasen dichas vulnerabilidades, o la explotación de las mismas no fuese exitosa, los atacantes utilizaban estrategias de ‘spear phishing’ para robar credenciales, infectar usuarios con malware y robar datos confidenciales.
El conjunto de herramientas utilizado por los atacantes dificulta la posibilidad de atribuir los ataques a un grupo o entidad, sin embargo, uno de los ficheros maliciosos utilizados en los ataques está conectado con otros ataques recibidos por compañías de todo el mundo, y cuyo origen proviene de China.
La muestra de malware pertenece a una familia conocida como ‘PlugX‘, que es clasificada como ‘Korplug‘ por ciertos motores antivirus debido a que ambas familias comparten una técnica específica para cargar DLLs. Esta familia ha sido utilizada en ataques anteriores a entidades de todo el mundo, y un informe de Palo Alto Networks en 2015 conecta PlugX con el grupo chino DragonOK.
Además de DragonOK, otros 9 grupos chinos o conectados de alguna forma con China, han utilizado PlugX en alguno de sus ataques. No se han detectado ataques de grupos sin conexiones chinas utilizando este malware, es por ello que se cree que los ataques podrían venir de China.
Más información:
Deja una respuesta