Investigadores de CrowdStrike reportan la detección de un grupo de hacking operando desde China y que ha logrado infiltrarse en una institución académica explotando una de las fallas encontradas en la biblioteca de registro Log4j. El grupo fue identificado como Aquatic Panda y descrito como una operación avanzada de inteligencia y espionaje, activa al menos desde hace un año y medio.
Por ahora se desconoce cuál es la meta exacta de este grupo, ya que el ataque fue interrumpido; no obstante, se descubrió que Aquatic Panda genera persistencia en los sistemas afectados con el fin de obtener acceso a propiedad intelectual y otras muestras de información confidencial, comprometiendo principalmente organizaciones en los sectores de telecomunicaciones, gobierno y tecnología.
Como se menciona anteriormente, una de las principales irrupciones de este grupo fue identificada en las redes de una institución académica sin nombrar, donde se ejecutaba una implementación vulnerable de VMware Horizon. A partir de la telemetría obtenida, los expertos concluyeron que en el ataque usó una versión modificada del exploit para la falla de ejecución remota de código en Log4j.
Además, los cibercriminales usaron un proyecto público de GitHub para obtener acceso a la instancia vulnerable de VMware Horizon, continuando con el reconocimiento desde el host y usando binarios nativos del sistema operativo para los niveles de privilegios actuales.
CrowdStrike agrega que, desde hace un par de semanas, se han detectado múltiples actores de amenazas explotando las vulnerabilidades en Log4j, desde grupos dedicados al robo de datos hasta actores considerados como amenazas persistentes avanzadas (APT): “Seguiremos viendo actores de amenazas haciendo uso de esta vulnerabilidad hasta que se implementen todas las mitigaciones pertinentes”, concluyen los investigadores.
En días pasados, los gobiernos de Estados Unidos, Reino Unido, Australia y Canadá emitieron una alerta conjunta en referencia a la explotación masiva de las fallas en Log4j. Según este reporte, grupos de hacking en Corea del Norte, Irán, Turquía y China son los principales responsables de la explotación maliciosa de estas fallas.
Jen Easterly, directora de la Agencia de Ciberseguridad y Seguridad de Infraestructura de E.U. (CISA), cree que la explotación de estas fallas representa una seria y constante amenaza para las organizaciones vulnerables: “Pedimos a todas las entidades que tomen las medidas necesarias para mantener protegidas sus redes; estas son vulnerabilidades críticas y es vital que trabajemos juntos en la lucha contra el cibercrimen”, concluye.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.