Los hackers de DarkHotel usan VPN de día cero para violar las agencias del gobierno chino



Imagen: Qihoo 360, ZDNet Los piratas informáticos extranjeros patrocinados por el estado han lanzado una operación de piratería masiva dirigida a las agencias del gobierno chino y sus empleados. Los ataques comenzaron el mes pasado, en marzo, y se cree que están relacionados con el brote actual de coronavirus (COVID-19). La firma de seguridad china Qihoo 360, que detectó las intrusiones, dijo que los piratas informáticos utilizaron una vulnerabilidad de día cero en los servidores VPN SSL de Sangfor, que se usaba para proporcionar acceso remoto a redes empresariales y gubernamentales.
Qihoo dijo que descubrió más de 200 servidores VPN que han sido pirateados en esta campaña. La firma de seguridad dijo que 174 de estos servidores estaban ubicados en las redes de agencias gubernamentales en Beijing y Shanghai, y en las redes de misiones diplomáticas chinas que operan en el extranjero, en países como: En un informe publicado hoy, los investigadores de Qihoo dijeron que toda la cadena de ataque era sofisticada y muy inteligente. Los hackers usaron el día cero para obtener el control sobre los servidores VPN de Sangfor, donde reemplazaron un archivo llamado SangforUD.
exe con una versión bobobytrapped. Este archivo es una actualización para la aplicación de escritorio Sangfor VPN, que los empleados instalan en sus computadoras para conectarse a los servidores Sangfor VPN (e inherentemente a sus redes de trabajo). Los investigadores de Qihoo dijeron que cuando los trabajadores se conectaban a servidores VPN Sangfor pirateados, recibían una actualización automática para su cliente de escritorio, pero recibían el archivo exe SangforUD. Boobytrapped, que luego instalaba un troyano de puerta trasera en sus dispositivos. La firma de seguridad china dijo que rastreó los ataques a un grupo de hackers conocido como DarkHotel. Se cree que el grupo opera fuera de la península de Corea, aunque aún se desconoce si tienen su sede en Corea del Norte o del Sur.
El grupo, que ha estado operando desde 2007, se considera una de las operaciones de piratería patrocinadas por el estado más sofisticadas de la actualidad. En un informe publicado el mes pasado, Google dijo que DarkHotel usó la friolera de cinco vulnerabilidades de día cero el año pasado, en 2019, más que cualquier otra operación de piratería de un estado nacional. A pesar de ser solo abril, el Sangfor VPN zero-day es el tercer DarkHotel de día cero que se implementa en 2020.
A principios de este año, también se ha visto que el grupo usa días cero para los navegadores Firefox e Internet Explorer para apuntar a entidades gubernamentales en China y Japón. Los investigadores de Qihoo dijeron que los recientes ataques contra las agencias del gobierno chino podrían estar relacionados con el brote actual de coronavirus (COVID-19). La firma de seguridad china dijo que cree que DarkHotel está tratando de obtener información sobre cómo el gobierno chino manejó el brote.
Los ataques contra entidades del gobierno chino parecen ajustarse a un patrón. Hace dos semanas, Reuters informó un ataque de DarkHotel contra la Organización Mundial de la Salud, el organismo internacional que coordina la respuesta global a la actual pandemia de COVID-19. Qihoo dijo que informó la vulnerabilidad de día cero a Sangfor el viernes pasado, el 3 de abril.
Cuando ZDNet se comunicó con una declaración el día de hoy, el proveedor con sede en Shenzen no quiso comentar sobre los ataques, objetivos o piratas informáticos, y en su lugar nos redirigió a una publicación de WeChat publicada más temprano en el día. En WeChat, el proveedor dijo que solo los servidores Sangfor VPN que ejecutan las versiones de firmware M6.3R1 y M6.
1 eran vulnerables y se confirmó que se vieron comprometidos con el día cero utilizado por DarkHotel Sangfor dijo que los parches llegarían hoy y mañana, hoy para la versión actual de su servidor VPN SSL, y mañana para las versiones anteriores. La compañía también planea lanzar un script para detectar si los piratas informáticos han comprometido los servidores VPN, y una segunda herramienta para eliminar los archivos implementados por DarkHotel. Los clientes de Sangfor pueden encontrar detalles adicionales en la publicación WeChat de la compañía y su aviso de seguridad SRC-2020-281 (no público).
pag VER GALERÍA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı