Los hackers atacan al gobierno chino por su respuesta al coronavirus

La firma de ciberseguridad FireEye informó el miércoles que hackers vinculados al gobierno vietnamita están supuestamente atacando agencias gubernamentales chinas para recopilar inteligencia sobre la crisis del COVID-19.

Según FireEye, un grupo de hackers “APT32”, también conocido como “Ocean Lotus”, que se cree que opera en nombre del gobierno vietnamita, estuvo involucrado en una campaña de spear-phishing dirigida a miembros del Ministerio de Gestión de Emergencias de China y al gobierno de Wuhan, epicentro de la pandemia de coronavirus.

“Estos ataques indican que el virus es una prioridad de inteligencia: todos están lanzando todo lo que tienen, y APT32 es lo que Vietnam tiene”, dijo FireEye en una publicación de blog.

Los investigadores de FireEye creen que APT32 llevó a cabo campañas de intrusión contra objetivos chinos desde al menos enero hasta abril de 2020.

La empresa de seguridad se dio cuenta de esta campaña por primera vez el 6 de enero de 2020, cuando APT32 envió un correo electrónico con un enlace de seguimiento incrustado al Ministerio de Gestión de Emergencias de China. El enlace incrustado contenía la dirección de correo electrónico de la víctima y un código para informar a los actores si el correo electrónico se abría.

FireEye también descubrió URL de seguimiento adicionales que revelaron objetivos en el gobierno de Wuhan de China y una cuenta de correo electrónico también asociada con el Ministerio de Gestión de Emergencias.

Los dominios en los enlaces incrustados eran los mismos que se utilizaron en diciembre como un dominio de comando y control para una campaña de phishing METALJACK que probablemente estaba dirigida a países del sudeste asiático.

“APT32 probablemente utilizó archivos adjuntos maliciosos con temática de Covid-19 contra objetivos de habla china. Si bien no hemos descubierto toda la cadena de ejecución, encontramos un cargador METALJACK que mostraba un documento de engaño titulado en chino Covid-19 mientras lanzaba su carga útil”, agregó la publicación del blog.

El shellcode realiza una encuesta del sistema para recopilar el nombre de la computadora y el nombre de usuario de la víctima y luego agrega esos valores a una cadena de URL. Luego intenta llamar a la URL. Si la llamada es exitosa, el malware carga la carga útil de METALJACK en la memoria.

“La crisis del COVID-19 plantea una preocupación intensa y existencial para los gobiernos, y el actual clima de desconfianza está amplificando las incertidumbres, fomentando la recopilación de inteligencia a una escala que rivaliza con el conflicto armado. Los gobiernos nacionales, estatales o provinciales y locales, así como las organizaciones no gubernamentales y las organizaciones internacionales, están siendo atacados. La investigación médica también ha sido objeto de ataques”, dijo FireEye.

“Hasta que esta crisis termine, anticipamos que el espionaje cibernético relacionado continuará intensificándose a nivel global.”

Sin embargo, el jueves, el ministerio de relaciones exteriores de Vietnam reaccionó al informe de FireEye sobre el respaldo a hackers vinculados al gobierno para atacar agencias chinas como “infundado”.

“La acusación es infundada”, dijo el portavoz del Ministerio de Relaciones Exteriores, Ngo Toan Thang, a los periodistas. “Vietnam prohíbe todos los ciberataques, que deben ser denunciados y tratados estrictamente por la ley.”

Thang también agregó que Vietnam está listo para cooperar con socios internacionales para combatir los ciberataques.