Piratas informáticos chinos secuestraron una actualización de software de un ISP para propagar malware.
StormBamboo tomó el control de un proveedor de servicios de Internet para distribuir actualizaciones infectadas.
Recientes informes han revelado que tanto sistemas operativos Windows como macOS han sido afectados por malware tras una campaña llevada a cabo por el grupo de hackers chinos conocido como StormBamboo. Este grupo utilizó un proveedor de servicios de internet (ISP) comprometido para dirigir ataques a diversas organizaciones mediante respuestas DNS alteradas.
StormBamboo se aprovechó de mecanismos de actualización automática con respuestas DNS manipuladas, apuntando específicamente a aquellas organizaciones que no implementaban la validación correcta de las firmas digitales en sus procesos de actualización. Cuando las aplicaciones de estas organizaciones buscaban actualizaciones, en vez de obtenerlas del sitio oficial, terminaban descargando malware.
Los ataques vinculados a las variantes MACMA y POCOSTICK fueron detectados inicialmente por una empresa de ciberseguridad en la mitad de 2023. Aunque llevó tiempo identificar el vector de ataque, este se asemeja al utilizado en una campaña anterior atribuida a otro grupo conocido como DriftingBamboo. En un caso particular, se pensó que la contaminación por DNS se estaba produciendo a nivel de infraestructura del objetivo, pero investigaciones posteriores determinaron que era el ISP el que estaba comprometido. Tras ser alertado, el proveedor de servicios de internet procedió a reiniciar sistemas y desconectar componentes de la red, lo que detuvo la contaminación DNS.
Para distribuir su malware, StormBamboo utilizaba esta contaminación para redirigir las solicitudes HTTP a un servidor de comando y control (C2), que suministraba un archivo de texto falso y un instalador de malware en lugar de la legítima actualización de software. El archivo en cuestión sustituía al archivo que normalmente contendría la versión más reciente de la aplicación y un enlace de instalación solicitado a través de HTTP.
El ataque de StormBamboo se realizó mediante diversas técnicas, enfocándose en proveedores de software que utilizaban flujos de actualización poco seguros. Se destacó que el uso de HTTPS, que incluye cifrado y firmas digitales para verificar la autenticidad de las solicitudes, es significativamente más seguro que el HTTP. A su vez, se ofrecieron directrices sobre cómo defenderse de este tipo de ataques, incluyendo un conjunto de reglas para la detección de actividades maliciosas.
malware, seguridad cibernética, StormBamboo
