Dentro de la batalla de cinco años de un proveedor de firewalls contra los hackers chinos que secuestran sus dispositivos.
Sophos llegó al extremo de instalar "implantes" de vigilancia en sus propios dispositivos para atrapar a los hackers en acción, lo que a su vez ofreció una visión sobre las técnicas de intrusión que se desarrollan en la investigación y el desarrollo en China.
A lo largo de los años, ha sido una verdad incómoda en el sector de la ciberseguridad que los dispositivos de seguridad de red vendidos para proteger a los clientes de espías y ciberdelincuentes son, a menudo, las mismas máquinas que esos intrusos hackean para acceder a sus objetivos. Vulnerabilidades en dispositivos de "perímetro", como firewalls y dispositivos de VPN, han sido recurrentemente utilizados por hackers sofisticados para infiltrarse en los sistemas que esos mismos dispositivos estaban diseñados para proteger.
Ahora, una empresa de ciberseguridad ha revelado la intensa y prolongada batalla que ha llevado a cabo contra un grupo de hackers que buscaba explotar sus productos. Durante más de cinco años, la firma británica Sophos estuvo en un juego del gato y el ratón con un equipo de adversarios poco conectado que atacó sus firewalls. La compañía llegó al extremo de identificar y monitorear los dispositivos específicos en los que los hackers probaban sus técnicas de intrusión, vigilando su trabajo y rastreando esta explotación a un único grupo de investigadores de vulnerabilidades en Chengdu, China.
Recientemente, Sophos documentó su lucha de medio decenio con estos hackers chinos en un informe que describe el intercambio escalonado de ataques y defensas. La empresa incluso instaló de manera discreta sus propios "implantes" en los dispositivos Sophos de los hackers para anticipar y monitorear sus intentos de explotación. Los investigadores de Sophos, además, lograron obtener de las máquinas de prueba de los hackers una muestra de malware conocido como "bootkit", diseñado para esconderse de manera indetectable en el código de bajo nivel de los firewalls utilizado para encender los dispositivos, un truco que nunca antes se había observado en el campo.
Durante esta batalla, los analistas de Sophos identificaron diversas campañas de hacking que empezaron con una explotación masiva e indiscriminada de sus productos, pero que con el tiempo se volvieron más sigilosas y específicas, apuntando a proveedores de energía nuclear, reguladores, objetivos militares como un hospital militar, telecomunicaciones, agencias gubernamentales y de inteligencia, y el aeropuerto de una capital nacional. La mayoría de los objetivos estaban en Asia del Sur y del Este, aunque también se identificó un menor número en Europa, Oriente Medio y Estados Unidos.
El informe de Sophos relaciona estas múltiples campañas de hacking con grupos de hackers patrocinados por el estado chino, conocidas como APT41, APT31 y Volt Typhoon. Este último, en particular, ha buscado la capacidad de interrumpir infraestructuras críticas en Estados Unidos, incluidas las redes eléctricas. Sin embargo, la empresa señala que el hilo conductor a lo largo de estos esfuerzos no es uno de esos grupos previamente identificados, sino una red más amplia de investigadores que parece haber desarrollado técnicas de hacking y proveído a las autoridades chinas. Sophos conecta el desarrollo de estas explotaciones con un instituto académico y un contratista, ambos ubicados cerca de Chengdu: Sichuan Silence Information Technology, relacionado por Meta con esfuerzos de desinformación patrocinados por el estado, y la Universidad de Ciencia y Tecnología Electrónica de China.
Sophos Decidió difundir esta historia no solo para arrojar luz sobre la cadena de investigación y desarrollo de hacking en China, sino también para romper el incómodo silencio en la industria de la ciberseguridad sobre la cuestión más amplia de las vulnerabilidades en los aparatos de seguridad que sirven como puntos de entrada para los hackers. En el último año, por ejemplo, las fallas en productos de ciberseguridad de otros vendedores, como Ivanti, Fortinet, Cisco y Palo Alto, han sido explotadas en campañas de hacking masivo o intrusiones específicas. Ross McKerchar, director de seguridad de información de Sophos, comentó: “Esto se está convirtiendo en un secreto a voces. La gente entiende que está ocurriendo, pero desafortunadamente todos callan”.
La confrontación de Sophos con los hackers comenzó en 2018, cuando descubrieron una infección de malware en una computadora en su oficina de Ahmedabad, India. Este malware llamó la atención debido a su escaneo ruidoso de la red, y al investigar más a fondo, los analistas encontraron que los hackers ya habían comprometido otras máquinas en la red de Cyberoam con un rootkit más sofisticado conocido como CloudSnooper. La empresa cree que esta primera intrusión buscaba obtener información sobre los productos de Sophos para facilitar futuros ataques a sus clientes.
En la primavera de 2020, Sophos se percató de una amplia campaña de infecciones indiscriminadas que afectaron a decenas de miles de firewalls alrededor del mundo, en un intento aparente de instalar un troyano denominado Asnarök y crear lo que ellos llaman "cajas de relé operacionales" o ORBs, esencialmente una botnet de máquinas comprometidas que los hackers podían usar como puntos de lanzamiento para otras operaciones. La campaña fue sorprendentemente bien financiada, aprovechando múltiples vulnerabilidades zero-day que los hackers aparentemente habían descubierto en los dispositivos Sophos. Solo un error en los intentos de limpieza del malware en un pequeño porcentaje de las máquinas afectadas permitió a Sophos analizar las intrusiones y comenzar a estudiar los ataques dirigidos a sus productos.
