Las víctimas rusas pertenecen a Rostec Corporation, el mayor holding ruso de la industria radioelectrónica
Los correos electrónicos contenían los asuntos «Lista de personas de <nombre del instituto objetivo> sometidas a sanciones de Estados Unidos por invadir Ucrania» y «Propagación de patógenos mortales en Bielorrusia por parte de Estados Unidos»
La campaña presenta múltiples coincidencias con ciberdelincuentes chinos de ciberespionaje avanzado como APT10 y Mustang Panda
Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. ha detectado una operación de ciberespionaje dirigida a Institutos de investigación de Defensa rusos actualmente activa. Atribuida a ciberdelincuentes del Estado-Nación chino, la operación se basa en técnicas de ingeniería social para sustraer información sensible, específicamente en cebos relacionados con las sanciones occidentales a Rusia. Los atacantes fueron capaces de evadir la detección durante casi 11 meses mediante el uso de herramientas inéditas, un sofisticado cargador de múltiples capas y un backdoor apodado SPINNER. Los investigadores han denominado a esta campaña «Twisted Panda» para reflejar la sofisticación de las herramientas y su atribución a China.
Check Point Research ha identificado tres objetivos de investigación en materia de defensa, dos en Rusia y uno en Bielorrusia. Las víctimas rusas pertenecen a un holding dentro del conglomerado de defensa estatal ruso llamado Rostec Corporation, que es el mayor de la industria radioelectrónica del país. La actividad principal de los damnificados rusos es el desarrollo y la fabricación de sistemas electrónicos con fines bélicos, equipos radioelectrónicos militares de a bordo, estaciones de radar y medios de identificación del Estado.
Los atacantes chinos llevan 11 meses con el ciberespionaje contra Rusia
Para llevar a cabo el ataque los ciberdelincuentes envían a sus objetivos un correo electrónico de phishing que contiene un documento que utiliza las sanciones occidentales contra Rusia como señuelo. Cuando la víctima abre el documento, descarga el código malicioso del servidor controlado por el ciberdelincuente, que instala y ejecuta de forma encubierta un backdoor en el equipo. Este backdoor recoge los datos del dispositivo infectado y los envía de vuelta al atacante. A partir de esta información, el agresor puede ejecutar comandos adicionales en la o recoger datos sensibles de la misma.
Esta amenaza se aprovecha los correos electrónicos maliciosos de spear-phishing que utilizan técnicas de ingeniería social. El 23 de marzo, se mandaron emails a varios institutos de investigación de defensa con sede en Rusia, cuyo asunto era «Lista de personas de <nombre del instituto objetivo> sometidas a sanciones de EE.UU. por invadir Ucrania», contenían un enlace a una web que imitaba al Ministerio de Sanidad de Rusia y llevaba adjunto un documento malicioso. El mismo día, también se mandó otro mensaje similar a una entidad desconocida de Minsk, Bielorrusia, con el asunto «Propagación de patógenos mortales por parte de EE.UU. en Bielorrusia». Todos los archivos adjuntos están diseñados para que parezcan documentos oficiales del Ministerio de Sanidad ruso, con su logo y título oficiales.
Las Tácticas, Técnicas y Procedimientos (TTPs) de esta operación permiten a Check Point Research atribuirlo a APT china. La campaña “Twisted Panda” presenta múltiples coincidencias con autores chinos de ciberespionaje de alto nivel y de larga trayectoria, como APT10 y Mustang Panda.
“Hemos sacado a la luz una operación de espionaje en curso contra institutos de investigación de defensa rusos llevada a cabo por experimentados y sofisticados ciberdelincuentes respaldados por China. Nuestra investigación muestra que esto es parte de una operación más amplia que tenido como objetivo entidades relacionadas con Rusia durante aproximadamente un año. Se han descubierto dos instituciones de investigación en materia de defensa en Rusia y una entidad en Bielorrusia”, alerta Itay Cohen, jefe de Investigación de Check Point Software. “Quizá la parte más sofisticada de la campaña sea el componente de ingeniería social. La sincronización de los ataques y los señuelos utilizados son inteligentes. Desde el punto de vista técnico, la calidad de las herramientas está por encima de la media, incluso para los grupos APT. Creo que nuestros hallazgos sirven como una prueba más de que el espionaje constituye un esfuerzo sistemático y a largo plazo al servicio de los objetivos estratégicos de China para alcanzar superioridad tecnológica. En esta investigación vimos cómo los atacantes chinos patrocinados por el Estado están aprovechando la guerra en curso entre Rusia y Ucrania, dando rienda suelta a herramientas avanzadas contra quien se considera un socio estratégico: Rusia”.