A mediados de octubre de 2021, Kaspersky ICS CERT descubrió un actor de amenazas de habla china previamente desconocido que atacaba a organizaciones de telecomunicaciones, producción y transporte en varios países asiáticos. Durante los ataques iniciales, el grupo explotó la vulnerabilidad de MS Exchange para implementar el malware ShadowPad y se infiltró en los sistemas de automatización de edificios de una de las víctimas.
Un sistema de automatización de edificios (BAS) conecta todas las funciones dentro del edificio, desde la electricidad o calefacción hasta posibles incendios y seguridad, y se gestiona desde un centro de control. Una vez se compromete un BAS, todos los procesos dentro de esa organización están en riesgo, incluidos los relacionados con la seguridad de la información.
Los expertos de Kaspersky ICS CERT detectaron ataques contra organizaciones en Pakistán, Afganistán y Malasia en el sector industrial y telecomunicaciones. Los ataques tenían un conjunto único de tácticas, técnicas y procedimientos (TTPs), lo que llevó a los expertos a creer que el mismo actor de amenazas de habla china estaba detrás de todos estos ataques observados. Su atención se centró particularmente en el uso por parte del actor de los equipos de ingeniería en sistemas de automatización de edificios, pertenecientes a las infraestructuras de las empresas, como punto de infiltración, algo inusual para los grupos APT. Al tomar el control de esos sistemas, el atacante puede llegar a otros sistemas aún más sensibles de la organización atacada.
Como mostró la investigación, la herramienta principal del grupo APT el backdoor ShadowPad. Kaspersky ha sido testigo del uso de este malware por parte de varios actores APT de habla china. Durante los ataques del actor observado, ShadowPad se descargó en los ordenadores atacados bajo la apariencia de software legítimo. En muchos casos, el grupo atacante aprovechó una vulnerabilidad conocida en MS Exchange y entró en los comandos manualmente, lo que indica la naturaleza altamente específica de sus campañas.
“Los sistemas de automatización de edificios no son objetivos comunes para los actores de amenazas avanzados. Sin embargo, esos sistemas pueden ser una fuente valiosa de información altamente confidencial y pueden proporcionar a los atacantes una puerta trasera a otras áreas de infraestructura más seguras. Dado que estos ataques se desarrollan con extrema rapidez, deben detectarse y mitigarse durante sus primeras etapas. Por lo tanto, nuestro consejo es monitorizar constantemente los sistemas mencionados, especialmente en sectores críticos”, comenta Kirill Kruglov, experto en seguridad de Kaspersky ICS CERT.
Para mantener los equipos OT protegidos contra diversas amenazas, los expertos de Kaspersky recomiendan:
- ICS Threat Intelligence Reporting proporciona información sobre las amenazas actuales y los vectores de ataque, así como los elementos más vulnerables en OT y cómo mitigarlos.
- Kaspersky Industrial CyberSecurity para garantizar una protección integral para todos los sistemas críticos.
- Integrated Endpoint Security protege los endpoints corporativos y permite la detección automática de amenazas y capacidades de respuesta.
