La agencia francesa de ciberseguridad ha emitido una alerta sobre ciberespionaje dirigido a la infraestructura de proveedores de servicios y empresas de ingeniería.
«Los atacantes están comprometiendo estas redes corporativas para obtener acceso a los datos y, en última instancia, a las redes de sus clientes», dijo la Agencia Nacional de Seguridad Cibernética de Francia, conocida localmente como ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), en un informe técnico. Publicado el lunes.
Samuel Hassine, jefe de la unidad de inteligencia de amenazas cibernéticas de ANSSI, dijo que la agencia compiló el informe basándose en información de investigaciones recientes de ANSSI luego de actividades de respuesta a incidentes.
«En este punto, el análisis indicó que las dos oleadas de ataques estaban separadas en el tiempo y no había evidencia técnica de que estuvieran vinculadas», dijo el funcionario de ANSSI. «La primera ola utilizó principalmente malware PlugX. La segunda ola se basó en herramientas legítimas y robo de credenciales».
Los funcionarios de ANSSI no nombraron a las víctimas, ni atribuyeron los ataques a ningún grupo de piratería específico o país extranjero; sin embargo, el troyano de puerta trasera PlugX mencionado en el informe es una utilidad común que ha sido apoyada por China durante la última década de grupos de piratería. use regularmente la utilidad en múltiples intrusiones.
tendencia
El informe ANSSI está en línea con las tendencias observadas durante el año pasado, durante el cual múltiples noticias, informes técnicos y alertas de seguridad de las agencias de ciberseguridad han culpado (incluso demandó) Los piratas informáticos chinos han atacado repetidamente a los proveedores de servicios en la nube y a las industrias europeas.
Esto incluye ataques chinos coordinados a una amplia gama de proveedores de la nube en todo el mundo (Operación Cloudhopper), como Visma, HPE e IBM; a Airbus en Francia; al proveedor y consultor de ingeniería francés Expleo; al fabricante de motores británico Rolls-Royce Sri Lanka; a campaña de varios años dirigida a la mayoría de las empresas más grandes de Alemania, como ThyssenKrupp, BASF, Siemens, Henkel, Teamviewer, Valve y Bayer.
segundo informe
Además del informe de ataque dirigido a proveedores de servicios y empresas de ingeniería, ANSSI publicó un segundo informe.
El segundo informe detalla una campaña de recolección de credenciales y phishing a gran escala dirigida principalmente a agencias gubernamentales.
“Los objetivos putativos son amplios, incluidos los funcionarios estatales y los grupos de expertos”, dijo el funcionario de ANSSI. «Las cinco entidades diplomáticas que podrían ser atacadas son miembros del Consejo de Seguridad de la ONU (China, Francia, Bélgica, Perú, Sudáfrica)».
ANSSI dijo que su informe describía la misma actividad previamente documentada por firmas de ciberseguridad como Anomali, Cisco Talos, ESTsecurity y Palo Alto Networks durante el verano y el año pasado.
Los ataques, que aún continúan, están relacionados con un actor de amenazas llamado Kimsuky (Grupo 123), que está asociado con el gobierno de Corea del Norte.
ANSSI y su enfoque abierto a la ciberseguridad
ANSSI dijo que los dos informes eran solo el comienzo y que planeaban publicar más en el futuro, en una página dedicada que crearon en el sitio web de la agencia. La agencia espera que los informes brinden detalles técnicos para que las empresas francesas y extranjeras puedan implementar las defensas adecuadas para prevenir o disuadir futuros ataques.
La agencia de ciberseguridad francesa está siguiendo una tendencia promovida por las agencias de ciberseguridad de EE. UU. y el Reino Unido, que durante el año pasado comenzaron a compartir más información con el sector privado sobre el ciberespionaje en curso, llamando a países extranjeros y divulgando información. Herramientas internas orientadas al público (como el marco de análisis de malware Ghidra de la NSA).
En este último frente, ANSSI es la más prolífica de todas las instituciones. Durante el año pasado, la agencia abrió CLIP OS, un sistema operativo reforzado con seguridad basado en Linux utilizado internamente por el gobierno francés; Tchap, un cliente de mensajería instantánea cifrada de extremo a extremo; y, más recientemente, OpenCTI, un sistema para manejar y compartir amenazas cibernéticas Una plataforma para información de inteligencia.
El malware APT (desarrollado por el estado) más famoso y peligroso del mundo