UNIC215: ¿cómo opera el ciberespionaje chino?

Las acciones de UNIC215 son solo un ejemplo más de que, en lo referido a ciberespionaje, China es una potencial global. Y es que si hace solo unos días hablábamos de las acciones de APT31 en una campaña dirigida, por primera vez (al menos que se sepa) contra Rusia, un país considerado aliado del gigante asiático, hoy tenemos conocimiento del esquema de una campaña de UNIC215 dirigida a Israel, persistente en el tiempo y bastante sofisticada.

Podemos tener conocimiento de la misma gracias a una publicación de FireEye, que lleva haciendo seguimiento y bloqueando acciones de UNIC215 desde 2019. En dicho informe podemos comprobar que en un primer momento, hace dos años, las intrusiones se llevaron a cabo aprovechando la vulnerabilidad CVE-2019-0604 que afectaba a Microsoft SharePoint, y que permitía a los atacantes subir sus cargas útiles e implementar web-shells con las que ganar acceso a los servidores de SharePoint comprometidos.

El seguimiento de las actividades de UNIC215 desde aquel momento, en colaboración con las autoridades israelíes, ha permitido comprobar que el grupo tiene la capacidad de llevar a cabo varias operaciones de manera simultánea, y que además no duda en dirigirlas contra un mismo objetivo. Algo que deja clara la prioridad del grupo, que obviamente es extensible a las instituciones chinas, en lo referido a obtener inteligencia relacionada directamente con Israel.

Por otra parte, la telemetría de FireEye también ha permitido comprobar varias iteraciones en las herramientas y nuevos TTP de UNIC 215, dirigidos en parte a mantener su capacidad de ataque, pero también, y casi fundamentalmente, a hacer mucho más complejo el análisis forense, con el fin de dificultar, sino impedir, la atribución de los ataques a sus autores. Desde ataques de falsa bandera hasta maximizar los movimientos laterales aprovechando al máximo las relaciones de confianza.

Una vez logrado el acceso inicial a la infraestructura, el siguiente paso de UNIC215 consiste en la recolección de credenciales y un amplio reconocimiento de la red interna. Desde emplear comandos nativos de Windows en servidores comprometidos hasta emplear las herramientas de administración de Active Directory, pasando por supuesto por escanear la red. Para tal fin emplean tanto herramientas públicas y conocidas, como un escáner privado al que los investigadores denominan WHEATSCAN, y que suele ir de la mano con FOCUSFJORD, el malware propietario que emplean en sus ataques.

Esta primera fase se centra en documentar la infraestructura, obtener credenciales de usuarios, etcétera. Una vez finalizada esta fase, cuando ya se han identificado los sistemas que serán clave (controladores de dominio, servidores de Exchange, etcétera) llega el momento de HYPERBRO, una herramienta con capacidades ampliadas de recopilación de información, como capturas de pantalla, keylogger, etcétera. Información que es rápidamente extraída a los servidores de comando y control de UNIC215.

Un elemento clave del malware de UNIC215, como ya he mencionado anteriormente, es su capacidad de ocultar sus huellas. Para tal fin, el software realiza borrados constantes de cualquier evidencia que pueda haber quedado en cualquiera de los sistemas atacados, e intentando ocultar la comunicación con los servidores de comando y control. No obstante, que oculte pistas no significa que comprometa sus actividades. Al contrario, uno de sus primeros pasos es garantizar su persistencia en todos los sistemas comprometidos, algo que lleva a cabo en el despliegue de FOCUSFJORD.

Como ya hemos podido comprobar estos últimos tiempos, los elementos de confianza y la cadena de suministros son una puerta abierta muy explotada por los ciberdelincuentes. Acceder al interior de la cámara acorazada es terriblemente complejo, pero en algunos casos resulta mucho más sencillo acceder a la compañía responsable de la contrata de limpieza del lugar al que queremos acceder. Obviamente en UNIC215 son muy conscientes de esta circunstancia, y la emplean en múltiples ocasiones. Según lo detectado por los investigadores, los accesos RDP supuestamente confiables son activamente explotados.

En cuanto a la ocultación del tráfico de datos, el malware de UNIC215 se apoya principalmente en dos factores. El primero es reducir las conexiones a lo imprescindible, haciendo así más difícil detectar paquetes de datos sospechosos. Además, y de cara a intentar darle apariencia de legitimidad y de ocultar su infraestructura C2, en muchas ocasiones el tráfico es canalizado a través de otros sistemas comprometidos que actúan a modo de proxy.

Por otra parte, los desarrolladores de UNIC 216 también emplean otra técnica muy peculiar, consistente en introducir fragmentos de texto en otros idiomas, que serán vistos si algún investigador obtiene acceso a alguna de sus herramientas. En las muestras analizadas por los expertos se han encontrado textos en farsi (iraní), hindi y árabe. No obstante, un análisis de dichos textos muestra algún error y, además, señala que probablemente sean traducciones realizadas con algún servicio de traducción automática.

No es este el primer «roce» entre China e Irán. Ya en 2019 el gobierno de Teherán acusó al grupo APT27, también de origen chino, de haber llevado a cabo acciones contra sus redes gubernamentales. Lo más llamativo aquí es que, aunque solo hay algunos elementos circunstanciales que en absoluto son concluyentes, existe una cierta sospecha de que UNIC215 es el nuevo nombre de APT27, que parece inactivo desde hace ya algún tiempo.

Aunque los ataques de UNIC215 a infraestructuras israelíes fueron detectadas por FireEye en 2019, la compañía ya contaba con muestras de sus ataques desde 2017, y según afirman a lo largo de estos cinco años han observado bastantes variantes e iteraciones de FOCUSFJORD en las que se han agregado nuevos protocolos de comunicación, un mecanismo de carga actualizado y ampliado el número de configuraciones admitidas en versiones más recientes. Las señales apuntan a que la organización cuenta con un equipo de desarrolladores que trabaja constantemente en la evolución de su software.

La entrada UNIC215: ¿cómo opera el ciberespionaje chino? es original de MuySeguridad. Seguridad informática.