Un centro de datos pirateado por un grupo chino de espionaje cibernético

Un centro de datos pirateado por un grupo chino de espionaje cibernético

Una unidad de ciberespionaje vinculada a China ha pirateado un centro de datos perteneciente a un país de Asia Central y ha incorporado códigos maliciosos en los sitios del gobierno.

El hack del centro de datos ocurrió en algún momento a mediados de noviembre de 2017, según un informe publicado por Kaspersky Lab a principios de esta semana.

Los expertos asignaron el nombre en clave de LuckyMouse al grupo detrás de este hackeo, pero más tarde se dieron cuenta de que los atacantes eran un antiguo agente chino conocido bajo varios nombres en los informes de otras firmas de ciberseguridad, como Emissary Panda, APT27, Threat Group 3390, Bronze Union, ZipToken y Iron Tiger.

Los piratas informáticos redirigieron a los visitantes de los sitios gubernamentales al malware

Los investigadores de Kaspersky dicen que LuckyMouse utilizó el acceso al centro de datos para agregar código JavaScript a sitios gubernamentales, lo que redirigió a los usuarios a sitios maliciosos que hospedaban herramientas de explotación como ScanBox y BEeF (Browser Exploitation Framework).

En estos sitios, estas herramientas intentarían infectar a los usuarios con HyperBro, un troyano de acceso remoto que operaba a través de un estado "en memoria", dejando rastros mínimos en el disco que podrían ser identificados por soluciones antivirus.

Los investigadores dicen que encontraron evidencia de que esta campaña de infección entre diciembre de 2017 y enero de 2018.

Kaspersky no nombró al país de Asia Central, pero dijeron que LuckyMouse ya lo había atacado antes en campañas anteriores.

El vendedor de antivirus ruso tampoco dijo cómo los piratas informáticos violaron el centro de datos que aloja sitios del gobierno, ya que no tenían suficiente evidencia para formular una conclusión.

LuckyMouse pirateó un enrutador MikroTik para alojar su servidor de C & C

Otro detalle que también se destacó fue que LuckyMouse parece haber pirateado un enrutador MikroTik para alojar el servidor de comando y control de HyperBro RAT. Los atacantes usarían este enrutador para controlar y recuperar datos de víctimas infectadas, poniendo una capa adicional de anonimato entre ellos, las víctimas y los investigadores forenses.

Esta no es la primera vez que los piratas informáticos utilizan enrutadores como parte de su infraestructura de ataque, una tendencia muy popular recientemente (no olvidemos VPNFilter), pero es la primera vez que alojan un servidor de C & C en uno.

"El punto más inusual e interesante aquí es el objetivo. Un centro de datos nacional es una valiosa fuente de datos que también se puede abusar para comprometer sitios web oficiales", explicó el experto de Kaspersky, Denis Legezo. "Otro punto interesante es el enrutador Mikrotik, que creemos que fue pirateado específicamente para la campaña".