Hackers Chinos Comprometen ISP Para Envenenar Respuestas DNS

Los investigadores de la firma de ciberseguridad Volexity revelaron el viernes que un grupo de hackers chinos ‘StormBamboo’ ha s uccessfully comprometido un proveedor de servicios de internet (ISP) para abusar de actualizaciones automáticas de software con malware.

Este grupo de amenazas de ciberespionaje chino, también rastreado como Evasive Panda, Daggerfly y StormCloud, ha estado activo desde al menos 2012, apuntando a organizaciones en la China continental, Hong Kong, Macao, Nigeria y varios países del sudeste y este de Asia (a través de BleepingComputer).

Durante un incidente investigado por Volexity, los investigadores de amenazas descubrieron que StormBamboo apuntó a software que utilizaba mecanismos de actualización inseguros, como HTTP, y no validaba correctamente las firmas digitales de los instaladores para desplegar cargas útiles de malware en las máquinas de las víctimas que ejecutan macOS y Windows.

“Cuando estas aplicaciones iban a recuperar sus actualizaciones, en lugar de instalar la actualización prevista, instalarían malware, incluyendo pero no limitado a MACMA y POCOSTICK (también conocido como MGBot),” explicó Volexity en un informe publicado el viernes.

Para hacer eso, los atacantes interrumpieron y modificaron las solicitudes DNS de las víctimas y las redirigieron a direcciones IP maliciosas.

Esta técnica entregó malware a los sistemas de la víctima desde los servidores de comando y control (C2) de StormBamboo, por lo que no se requería interacción del usuario.

Volexity encontró a StormBamboo apuntando a múltiples proveedores de software, que utilizan mecanismos de actualización automática, utilizando diferentes niveles de complejidad en sus pasos para empujar malware.

“Por ejemplo, aprovecharon las solicitudes de 5KPlayer para actualizar la dependencia youtube-dl para empujar un instalador con puerta trasera alojado en sus servidores C2,” declaró el informe de BleepingComputer.

“Después de comprometer los sistemas del objetivo, los actores de amenazas instalaron una extensión maliciosa de Google Chrome (ReloadText), que les permitió cosechar y robar cookies del navegador y datos de correo.”

Los investigadores de amenazas notificaron y trabajaron con el ISP, que luego investigó dispositivos importantes de enrutamiento de tráfico en su red. Una vez que el ISP reinició, tomó componentes de red específicos fuera de línea, lo que detuvo inmediatamente el envenenamiento DNS.

“StormBamboo es un actor de amenazas altamente capacitado y agresivo que compromete a terceros (en este caso, un ISP) para violar objetivos previstos.

La variedad de malware empleado en varias campañas por este actor de amenazas indica un esfuerzo significativo, con cargas útiles activamente soportadas no solo para macOS y Windows, sino también para dispositivos de red,” concluyeron los investigadores.