- Actores patrocinados por el Estado chino difunden el malware Brickworm para acceder a redes gubernamentales y informáticas de todo el mundo.
- El malware se dirige a VMware vSphere y Windows, lo que permite la persistencia, la manipulación de archivos y el compromiso de Active Directory.
- CISA advierte sobre riesgos de espionaje y sabotaje a largo plazo; China niega las acusaciones y califica a Estados Unidos de “cibermatón”.
Los actores de amenazas patrocinados por el estado chino están utilizando el malware Brickworm contra organizaciones gubernamentales de todo el mundo, manteniendo el acceso, infiltrándose en archivos y escuchando a escondidas.
Según un informe conjunto publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), la Agencia de Seguridad Nacional (NSA) y el Centro Canadiense de Ciberseguridad. El informe explica cómo funciona el malware basándose en el análisis de ocho muestras obtenidas de las redes de las víctimas.
En este, decía que los piratas informáticos de la República Popular China están apuntando a organizaciones “gubernamentales y de tecnología de la información”, sin especificar quiénes o dónde están las víctimas. Al mismo tiempo, Crowdstrike dijo que había visto su uso contra una organización gubernamental en Asia-Pacífico.
Manipular archivos
Para obtener acceso a las redes objetivo, los actores de amenazas acudirían a los sistemas VMware vSphere y Windows.
“CISA se comprometió a responder a incidentes en la organización víctima donde los ciberactores patrocinados por el estado de la República Popular China obtuvieron acceso persistente a largo plazo a la red interna de la organización en abril de 2024 y cargaron el malware BRICKSTORM en un servidor interno VMware vCenter”, enfatizó CISA. Luego agregó que los delincuentes atacaron Active Directory:
“También obtuvieron acceso a dos controladores de dominio y un servidor de Servicios de federación de Active Directory (ADFS). Comprometieron con éxito el servidor ADFS y exportaron las claves criptográficas”.
Además de poder mantener un acceso oculto, Brickwork les permitió acceder y manipular todos los archivos de los dispositivos. En algunos casos, pudieron moverse lateralmente a través de la red, comprometiendo aún más dispositivos.
Para el director interino de CISA, Madhu Gottumukkala, el informe “destaca las graves amenazas planteadas por la República Popular China que crean continuas exposiciones y costos de ciberseguridad para Estados Unidos, nuestros aliados y la infraestructura crítica de la que todos dependemos”.
“Estos actores patrocinados por el Estado no sólo se están infiltrando en las redes, sino que se están incrustando para permitir el acceso a largo plazo, la interrupción y el posible sabotaje”, afirmó.
A lo largo de los años, se ha culpado a China de una serie de ciberataques de alto perfil contra países occidentales. Fueron acusados de apuntar a proveedores de telecomunicaciones, infraestructura crítica y entidades gubernamentales con interés en ciberespionaje y posibles perturbaciones. En algunos casos, los ataques fueron planeados y llevados a cabo hace años y fueron parte de futuros esfuerzos bélicos contra Taiwán.
Los representantes del país, sin embargo, siempre han negado con vehemencia todas las acusaciones, describiendo a Estados Unidos como el mayor “cibermatón” del mundo.
A través de registro
El mejor antivirus para cada presupuesto
Siga TechRadar en Google News y agréganos como tu fuente predeterminada para recibir noticias, puntos de vista y opiniones de nuestros expertos en feeds. ¡Asegúrate de presionar el botón Continuar!
Y por supuesto que tú también puedes Siga TechRadar en TikTok para recibir noticias, reseñas, unboxings en forma de video y recibir actualizaciones constantes de nuestra parte WhatsApp también
