Un grupo APT (amenazas persistentes avanzadas) patrocinado por los intereses y objetivos del gobierno de China ha sido vinculado a un ataque organizado a la cadena de suministro del sector financiero de Taiwán. Se teoriza que los ataques comenzaron a finales de noviembre de 2021, y las intrusiones se atribuyen a un actor de amenazas rastreado como APT10, también conocido como Stone Panda, MenuPass y Bronze Riverside, y que se sabe que está activo desde al menos 2009.
La segunda ola de ataques alcanzó su punto álgido hace dos semanas, entre el 10 y el 13 de febrero de 2022, según un nuevo informe publicado por la empresa taiwanesa de ciberseguridad, CyCraft, que afirma que el amplio compromiso de la cadena de suministro se dirigió específicamente a los sistemas de software de las instituciones financieras, dando lugar a «casos anómalos de realización de pedidos«.
Imagen: CyCraft
La actividad de infiltración, cuyo nombre en clave es «Operación Cache Panda«, explotó una vulnerabilidad en la interfaz de gestión web del software de valores sin nombre que tiene una cuota de mercado de más del 80% en Taiwán, utilizándola para desplegar una shell web que actúa como conducto para implantar Quasar en el sistema comprometido con el objetivo de robar información sensible.
Imagen: Quasar
Quasar RAT es un una herramienta de acceso remoto (RAT) de código abierto y escrito en .NET. Sus funciones incluyen la captura de pantallas, la grabación de la cámara web, la edición del registro, el registro de teclas y el robo de contraseñas. Además, los ataques aprovecharon un servicio chino de intercambio de archivos en la nube llamado wenshushu.cn para descargar herramientas auxiliares.
La revelación se produce en el momento en que el Parlamento de Taiwán, el Yuan Ejecutivo, dio a conocer un proyecto de enmiendas a las leyes de seguridad nacional destinadas a combatir los esfuerzos de espionaje económico e industrial de China. Para ello, el uso no aprobado de tecnologías nacionales críticas y secretos comerciales fuera del país podría conllevar una pena de hasta 12 años de prisión.
Además, las personas y organizaciones a las que el gobierno taiwanés haya encomendado o subvencionado la realización de operaciones relacionadas con tecnologías nacionales críticas deberán obtener la aprobación previa del gobierno para cualquier viaje a China, ya que de lo contrario podrían incurrir en multas de hasta unos $359.000 dólares estadounidenses.
Las actividades de diferentes actores de amenazas que trabajan de manera independiente o dependiente del estado, han ido en aumento en los últimos años. Las campañas de ciberespionaje no son suficientes, el sabotaje informático ante países enemigos es parte de los objetivos estratégicos de los grupos APTs. 2022 será un año muy interesante.
Más información
https://medium.com/cycraft/supply-chain-attack-targeting-taiwan-financial-sector-bae2f0962934
https://malpedia.caad.fkie.fraunhofer.de/details/win.quasar_rat
https://malpedia.caad.fkie.fraunhofer.de/actor/stone_panda
Alerta Temprana de Riesgos Cibernéticos
Gestión de la Superficie de Ataque
Cyber Threat Intelligence
