Un grupo de hackers chino se dedica a atacar sitios web de gobiernos de Asia Central

Kaspersky Lab ha publicado un informe en el que muestra que un grupo de hackers chino ha atacado el centro nacional de datos un país de Asia Central sin concretar. Los ataques, según la compañía de ciberseguridad, han sido llevados a cabo por un grupo llamado LuckyMouse, que también ha actuado bajo otros nombres como Iron Tiger, Threat Group-3390, EmissaryPanda y APT27.

Los ciberataques empezaron en 2017 y al menos en un principio fueron inyecciones de scripts maliciosos contra los sitios web oficiales de la administración pública para realizar una campaña de agujero de agua a nivel estatal. Kaspersky Lab dice que el grupo ha utilizado el troyanos de administración remota HyperBro para esquivar las soluciones antimalware entre diciembre de 2017 y enero de 2018. La compañía detectó el ataque en marzo del presente año y ha decidido no decir el nombre del país en público, posiblemente para evitar un efecto llamada que atraiga a más grupos de hackers.

El por qué se ha vinculado a LuckyMouse con una Amenaza Persistente Avanzada viene derivado de que el dominio empleado por el servidor de mando y control, update.iaacstudio[.]com, estuvo implicado en campañas anteriores realizadas por los otros nombres mencionados en el primer párrafo (recordamos que se trata del mismo grupo que ha actuado con distintos nombres). Por otro lado, el troyano HyperBro ha sido utilizado por diversos actores maliciosos de origen chino y el mismo cifrador, shikata_ga_nai, por el mismo grupo en anteriores ocasiones.

Kaspersky Lab ha determinado que LuckyMouse actúa siempre contra gobiernos, sobre todo de Asia Central. Mediante ataques de agujero de agua contra los sitios web de las entidades gubernamentales, se sospecha que el objetivo es acceder a las páginas web mediante los centros de datos para inyectarles JavaScript. Sin embargo, de momento no se tiene una información precisa sobre cómo ha manejado LuckyMouse el ataque contra los sitios web para llevar a cabo la campaña.

El servidor de mando y control principal empleado en esta campaña es bbs.sonypsps[.]com, que fue resuelto por una dirección IP que pertenecía a la red de una ISP ucraniana y estaba asignada a un router Mikrotik con la versión 6.34.4 del firmware (publicada en marzo de 2016) y SMBv1 activado. Sospechamos que este router fue hackeado como parte de la campaña para procesar las solicitudes HTTP del malware. El dominio Sonypsps[.]com fue actualizado mediante GoDaddy desde el 5 de mayo de 2017 hasta el 13 de marzo de 2019.

La compañía de ciberseguridad de origen ruso cree que LuckyMouse ha estado muy activo en los tiempos recientes. Las tácticas empleadas en esta campaña suelen ser normales cuando se trata de actores maliciosos de origen chino, que generalmente ofrecen nuevas envolturas, como el lanzador y el descompresor protegido con shikata_ga_nai, alrededor del RAT HyperBro.

Aunque de momento no se ha comentado nada sobre ataques patrocinados por un estado, es una posibilidad que no se puede descartar viendo los objetivos principales de esta Amenaza Persistente Avanzada.

Fuente: BetaNews