El ciberataque de origen chino ha afectado a las elecciones de Camboya revelando amplias operaciones mundiales.
FireEye ha examinado una serie de actividades de TEMP.Periscope revelando un profundo interés en la política de Camboya, con múltipes entidades camboyanas relacionadas con su sistema electoral que tienen su seguridad comprometida. Esto incluye a entidades del Gobierno camboyano relacionadas con la supervisión de las elecciones, así como el ataque a figuras de la oposición.
Esta campaña tiene lugar en el periodo previo a las elecciones generales del país el 29 de julio de 2018. TEMP.Periscope usó la misma infraestructura para una serie de actividades contra otros objetivos más tradicionales, que incluyeron el sector de la defensa industrial en Estados Unidos y una empresa química con sede en Europa. Nuestra información previa sobre este grupo se centró en los ataques a entidades del sector de la ingeniería y el transporte marítimo en Estados Unidos.
En general, esta actividad indica que el grupo mantiene una amplia arquitectura de intrusion y una vasta gama de herramientas maliciosas, y que tiene como objetivo a un gran conjunto de víctimas, lo que está alineado con las iniciativas típicas de un grupo avanzado de amenazas persistentes (APT) situado en China. Prevemos que esta actividad ofrecerá al Gobierno chino una amplia visibilidad de las elecciones en Camboya y de las acciones gubernamentales. Además, este grupo es, sin lugar a dudas, capaz de llevar a cabo varias intrusiones a gran escala simultáneamente a lo largo de un amplio tipo de víctimas.
El análisis de FireEye también ha reforzado la atribución general a este grupo. Se han observado conjuntos de herramientas que ya habíamos atribuido previamente a este grupo, los objetivos observados también están alineados con actividades pasadas del grupo y también son muy similares a las iniciativas de otros conocidos grupos APT chinos y una dirección IP de Hainan en China fue grabada en la actividad de mando y control (C2).
Antecedentes de TEMP.Periscope
Activo desde al menos 2013, TEMP.Periscope se ha centrado principalmente en objetivos relacionados con el sector maritimo a lo largo de multiples areas verticales, incluyendo empresas de ingeniería, de transporte y logística, industriales, defensa, departamentos gubernamentales y universidades y centros de investigación. Sin embargo, el grupo también ha atacado a servicios de consultoría/profesionales, la industria de la alta tecnología, el sector de la sanidad y de los medios de comunicación/editorial. Las víctimas identificadas estaban localizadas en su mayor parte en Estados Unidos, aunque organizaciones europeas y, al menos, una en Hong Kong también se han visto afectadas. TEMP.Periscope coincide en objetivos, así como en tácticas, técnicas y procedimientos (TTPs) con Temp.Jumper, un grupo que también coincide significativamente con otros informes públicos sobre “NanHaiShu”.
Historial de incidentes
FireEye analizó tres servidores que se cree que estaban controlados por TEMP.Periscope, lo que ha proporcionado una visión sobre los objetivos del grupo, sus tácticas operativas y una cantidad significativa de validación y atribución técnica. Estos servidores estaban indexados en abierto y, por tanto, accesibles para cualquiera en Internet sin tener que usar credenciales. Este tipo de error ofrece un valioso conocimiento sobre las operaciones del grupo, ya que a diferencia de los datos contenidos en los correos de phishing dirigido a determinados objetivos (spear phishing), los actores maliciosos no prevén que estos datos sean analizados por los investigadores.
Estas actividades de TEMP.Periscope se extienden desde al menos abril de 2017 al presente, centrándose en las operaciones más actuales en las elecciones y el Gobierno de Camboya.
- Dos servidores, chemscalere[.]com y scsnewstoday[.]com, operan como servidores típicos de Mando y Control (C2) y sitios de hosting, mientras que el tercero, mlcdailynews[.]com, funciona como un servidor activo SCANBOX. Los servidores C2 contienen ambos logs (registros) y malware.
El análisis de los logs o registros de los tres servidores reveló:
- Inicios de sesión del actor potencial desde una dirección IP de un actor potencial localizada en Hainan en China que fue usada para acceder remotamente, administrar los servidores e interactuar con el malware desplegdo en las organizaciones de las víctimas.
- Registros de mando y control del malware desde las organizaciones de las víctimas en los sectores de educación, aviación, químico, defensa, gubernamental, marítimo y tecnológico en múltiples regiones. FireEye ha informado a todas las víctimas que ha podido identificar.
- Los archivos en los servidores incluían nuevos códigos maliciosos o malware (DADBOD, EVILTECH) y otros previamente identificados (AIRBREAK, EVILTECH, HOMEFRY, MURKYTOP, HTRAN y SCANBOX ) usados por TEMP.Periscope.
Entidades relacionadas con las elecciones camboyanas comprometidas
El análisis de los registros o logs de mando y control en los servidores revelaron que múltiples entidades camboyanas, principalmente aquellas relacionadas con las próximas elecciones de 2018, tenían su seguridad comprometida. Además un e-mail independiente de spear phishing (phishing dirigido a un objetivo concreto) analizado por FireEye indica un ataque simultáneo a las figuras de la oposición camboyana por parte de TEMP.Periscope.
El análisis indicó que los siguientes individuos y organizaciones del Gobierno camboyano han visto comprometida su seguridad por TEMP.Periscope:
- La Comisión Electoral Nacional, el Ministerio del Interior, el Ministerio de Asuntos Exteriores y de Cooperación Internacional, el Senado de Camboya, el Ministerio de Economía y Finanzas.
- Un miembro del parlamento que representa el Partido para el Rescate Nacional de Camboya
- Múltiples camboyanos reivindicando los derechos humanos y la democracia que han criticado por escrito al actual partido gobernante.
- Dos diplomáticos camboyanos que están sirviendo en el extranjero.
- Múltiples entidades camboyanas de medios de comunicación.
Paquete de malware de TEMP.Periscope
El análisis del inventario de malware que contenían los tres servidores reveló un conjunto clásico de cargas dañiñas (payloads) de TEMP.Periscope, incluyendo las firmas AIRBREAK, MURKYTOP y HOMEFRY. Además, la investigación de FireEye descubrió nuevas herramientas: EVILTECH y DADBOD.
Malware | Función | Detalles |
EVILTECH | Puerta trasera |
|
DADBOD | Robo de credenciales |
|
Tabla: Nuevas incorporaciones a la suite de malware de TEMP.Periscope
La información de los registros (logs) refuerza la atribución a China
FireEye ha rastreado TEMP.Periscope desde 2013 y múltiples factores han conducido a la valoración de que están actuando en nombre del Gobierno chino. El análisis de FireEye de los servidores y los datos adyacentes en esta última campaña refuerza esta atribución:
- Los datos de los registros de acceso del panel de control indican que los administradores estaban probablemente situados en China y están operando con ordenadores con configuraciones de idioma en chino.
- Los objetivos históricos de TEMP.Periscope siguen siendo coherentes con los objetivos del Gobierno chino y las herramientas son coincidentes con las de muchos otros equipos chinos.
- Un log en el servidor desveló direcciones IP que habían sido utilizadas para iniciar sesion en el software usado para comunicarse con el malware en los equipos de las víctimas. Una de las direcciones, 112.66.188.xx, está localizada en Hainan, China. Otras direcciones pertenecen a servidores virtuales privados, pero las piezas de código indican que los ordenadores usados para registrarse estaban configurados para operar en chino.
Pronóstico e implicaciones
La actividad descubierta ofrece una nueva perspectiva de las actuaciones de TEMP.Periscope. FireEye era consciente previamente del interés de este actor en los asuntos marítimos, pero este ataque proporciona indicios adcionales de que tendrán como objetivo a los sistemas políticos de países estratégicamente importantes. Camboya ha sido un defensor de confianza de la posición de China sobre el Mar del Sur de China en foros internacionales como el ASEAN y es un socio importante. Aunque Camboya está calificado como un país autoritario según el Índice de Democracia de The Economist, la reciente derrota sorpresa del partido gobernante de Malasia podría motivar que China vigile estrechamente las elecciones camboyanas del 29 de julio.
El ataque a la comisión electoral es particularmente significativo, dado el papel crítico que juega en facilitar el voto.
No hay todavía suficente información para determinar el motivo por el que comprometieron la seguridad de la organización (simplemente para reunir información de inteligencia o como parte de una operación más compleja).
Sin embargo, este incidente es el ejemplo más reciente de la agresiva recopilación de datos sobre los procesos electorales por parte de las naciones estado. Aunque la actividad relacionadas con elecciones solo ha sido descubierta en el sureste asiático, sería un error asumir que estas amenazas no sean relevantes en cualquier lugar.
Se cree que TEMP.Periscope continúe atacando una amplia serie de gobiernos, organizaciones internacionales e industria y empresas privadas, particularmente aquellas que trabajan en programas químicos o de ingeniería usados por barcos. No esperamos que modifiquen mucho o cualquiera de las técnicas y tecnologías en los que se basa esta información, pero probablemente seguirán aumentando las arquitecturas de intrusión a través de nuevos dominios, sitios con su seguridad comprometida, certificados y herramientas. FireEye prevé que continúen estas intrusiones y que posiblemente aumenten en alcance y escala a medida que estos recursos y usuarios apoyen las actividades de intrusión.