Un nuevo informe realizado por PwC UK y BAE Systems ha desvelado una sofisticada campaña cibernética “de tamaño y escala sin precedentes” dirigida a proveedores de servicios de gestión informática (MSP, “managed IT service providers”). La campaña, denominada Operation Cloud Hopper, tuvo como objetivo el espionaje y la recopilación de información, como lo demuestra la elección de víctimas de alto valor y bajo perfil.

Los investigadores han concluido que Operation Cloud Hopper se debe casi sin duda a un grupo conocido como APT10. El grupo es muy conocido en el mundo de la ciberseguridad, y se sospecha que su base está en China.

Utilizando el análisis forense de los tiempos operativos y las zonas de IP, los autores del informe pudieron concluir con un alto nivel de certeza la identidad del grupo, su ubicación en China, y el alcance de la campaña. Incluso fueron capaces de detallar la jornada de trabajo de los atacantes, incluyendo “un descanso de dos horas para la comida”.

“Si hubiéramos operado de forma aislada, nadie hubiera podido conectar los puntos para descubrir esta nueva campaña de ataques indirectos”, afirmó Richard Horne, socio de ciberseguridad en PwC.

La campaña de APT10 parece ser una operación muy organizada y con una fuerte dotación de personal, disponiendo de amplios recursos logísticos. Según el informe, el grupo utiliza una mezcla de software de código abierto que han personalizado, malware original, y técnicas de ‘spear phishing’ para infiltrar los sistemas de sus objetivos.

Su estrategia de elegir proveedores de servicios de gestión informática como objetivo principal les ha dado un nivel de acceso “sin precedentes a la propiedad intelectual y a los datos sensibles de estos proveedores y de sus clientes a nivel mundial”, según el informe. “Dado el nivel de acceso a la red del cliente que tienen los MSPs, una vez APT10 haya obtenido acceso a un MSP, es probable que sea relativamente sencillo explotarlo y realizar movimientos laterales en las redes de miles de otras víctimas potenciales”.

Luis Corrons, director técnico de PandaLabs, señala que se ha hecho cada vez más común la práctica de seleccionar cuidadosamente los objetivos de un ataque dirigido y personalizarlos según las características de cada víctima. “Además de la infinidad de ciberataques comunes con los que los negocios deben que lidiar a diario, hoy en día estamos presenciando un aumento desmesurado en la cantidad de ataques en los que los ciberdelincuentes están realmente dentro de la red de sus víctimas, adaptándose a sus defensas y llevando a cabo ataques con precisión quirúrgica mientras van buscando activos específicos,” afirma.

La campaña Cloud Hopper llega en un momento en que las tensiones geopolíticas se están complicando cada vez más en el ámbito de ciberespionaje y ciberguerra. Aunque el informe no sugiere abiertamente que el gobierno chino haya participado en la campaña, sí señala que la focalización de las organizaciones diplomáticas y políticas, así como de ciertas empresas, “está estrechamente alineada con los intereses estratégicos chinos”.

 

Adaptive Defense

Afortunadamente, los ataques dirigidos, incluso los más sofisticados perpetrados por grupos altamente profesionales como APT10, son pan comido para Panda Adaptive Defense. Como controla absolutamente todo lo que sucede en todos los equipos, puede detectar y detener este tipo de ataques de manera proactiva. Adaptive Defense también proporciona información forense sobre las amenazas, ofreciendo una trazabilidad detallada e inteligente sobre todo lo que sucede en el parque informático de una empresa (marco cronológico de una amenaza, flujo de información, el comportamiento de los procesos activos, etc.)

Adaptive Defense 360 ​​es el primer servicio gestionado de ciberseguridad que combina Next Generation Endpoint Protection (NG EPP) y tecnologías de detección y remediación (EDR), con la capacidad de clasificar el 100% de los procesos en ejecución. Así, es capaz de detectar y bloquear las amenazas que otros sistemas de protección ni siquiera ven.