Alarmas en el sector de la seguridad cibernética se han disparado debido a ataques que aprovechan una vulnerabilidad en Ivanti VPN. Este suceso destaca no solo la astucia de los hackers en identificar y explotar debilidades en infraestructuras clave, sino también la necesidad crítica de adoptar medidas de seguridad actualizadas y eficaces.
Ante la creciente dependencia de las organizaciones en VPNs para el trabajo remoto y la protección de sus redes, resulta esencial entender el desarrollo de este ataque, sus consecuencias para la seguridad de la información y cómo implementar estrategias para prevenir incidentes futuros.
Dos grupos de ciberespionaje, presumiblemente vinculados a China y conocidos como UNC5325 y UNC3886, han sido implicados en el aprovechamiento de vulnerabilidades en los dispositivos VPN de Ivanti Connect Secure.
UNC5325 explotó la vulnerabilidad CVE-2024-21893 para distribuir una variedad de malware nuevo, incluidos nombres como LITTLELAMB.WOOLTEA, PITSTOP, PITDOG, PITJET y PITHOOK, buscando además asegurar un acceso continuo a los dispositivos afectados, informó Mandiant.
Mandiant, una compañía de inteligencia sobre amenazas que pertenece a Google, sugiere con una moderada certeza que UNC5325 y UNC3886 están relacionados debido a similitudes en el código de LITTLELAMB.WOOLTEA y PITHOOK con el malware utilizado por el último.
Es importante mencionar que UNC3886 ha utilizado anteriormente vulnerabilidades de día cero en soluciones de Fortinet y VMware para desplegar varios tipos de implantes, como VIRTUALPITA, VIRTUALPIE, THINCRUST y CASTLETAP, enfocándose principalmente en sectores de defensa industrial, tecnología y telecomunicaciones en Estados Unidos y la región Asia-Pacífico.
La explotación activa de CVE-2024-21893 por parte de UNC5325, una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en componentes SAML de las soluciones de Ivanti, comenzó aproximadamente el 19 de septiembre de 2024, afectando a un número limitado de dispositivos.
El ataque combina CVE-2024-21893 con una vulnerabilidad de inyección de comandos, identificada como CVE-2024-21887, para acceder de manera no autorizada a dispositivos vulnerables, llevando a la instalación de una nueva variante de BUSHWALK.
Te podrá interesar: Identificando vulnerabilidades: El poder de las CVE
En algunos casos, también se ha abusado de componentes legítimos de Ivanti, como los complementos de SparkGateway, para descargar cargas útiles adicionales. Esto incluye el complemento PITFUEL para cargar un objeto compartido malicioso, apodado LITTLELAMB.WOOLTEA, diseñado para permanecer incluso tras actualizaciones del sistema, parches y restablecimientos de fábrica.
A pesar de que los esfuerzos para mantener la persistencia no han tenido éxito debido a errores en la lógica del malware, esto evidencia la determinación de UNC5325 por mantener acceso a sus objetivos y resalta la importancia de actualizar y parchear los dispositivos de red.
Además, se ha identificado otro complemento malicioso de SparkGateway, llamado PITDOG, que inyecta un objeto compartido denominado PITHOOK para ejecutar de forma persistente un implante conocido como PITSTOP, diseñado para ejecución de comandos de shell y manejo de archivos en el dispositivo comprometido.
Mandiant destacó la sofisticación del actor de amenazas en su entendimiento del dispositivo y sus esfuerzos por evitar la detección, utilizando técnicas de "living off the land" (LotL) para mantenerse ocultos.
La firma de seguridad anticipa que UNC5325, junto con otros grupos de espionaje vinculados a China, seguirán explotando vulnerabilidades de día cero y utilizando malware específico para dispositivos con el fin de acceder y mantenerse en los entornos objetivo.
La revelación surge tras la atribución por parte de Dragos, una firma especializada en ciberseguridad industrial, de las acciones de Volt Typhoon (también conocido como Voltzite) a China. Este grupo se ha enfocado en el reconocimiento y la catalogación de objetivos dentro de una variedad de sectores en EE. UU., incluyendo empresas de energía eléctrica, servicios de emergencia, telecomunicaciones, la industria de defensa y operadores de satélites.
"Voltzite ha mostrado un interés particular en sectores como el eléctrico, de telecomunicaciones y los sistemas GIS en Estados Unidos, buscando identificar puntos débiles en la infraestructura crítica que podrían ser vulnerables a ataques cibernéticos futuros, ya sean destructivos o disruptivos", afirmaron desde Dragos.
Además, se ha observado que Volt Typhoon ha extendido sus actividades hacia los sectores de transmisión y distribución eléctrica en África, encontrándose vínculos entre este grupo y UTA0178, una entidad asociada a la explotación de vulnerabilidades de día cero en Ivanti Connect Secure desde principios de diciembre de 2023.
Este grupo de ciberespionaje, que se caracteriza por su preferencia por técnicas de "living off the land" (LotL) para pasar desapercibido, ahora se suma a otros dos actores recientemente identificados, Gananite y Laurionite. Estos grupos emergieron en 2023 y se han dedicado a operaciones de reconocimiento prolongado y robo de propiedad intelectual, apuntando a infraestructuras críticas y entidades gubernamentales.
Dragos detalló que "Voltzite opta por un enfoque de mínima huella en sus operaciones, buscando ejecutar sus actividades con la mayor discreción posible. Su principal objetivo es la evasión de la detección y el mantenimiento de un acceso a largo plazo, con fines de espionaje prolongado y extracción de información sensible".
Te podrá interesar leer: Costo de Inacción en Ciberseguridad
El reciente ataque a la VPN de Ivanti por parte de hackers chinos es un recordatorio oportuno de la constante evolución de las amenazas cibernéticas. La seguridad en línea requiere vigilancia, educación y la implementación de prácticas robustas de seguridad cibernética. Por otra parte, mantenerse informado sobre las últimas amenazas y tendencias en seguridad es fundamental para anticipar y mitigar los riesgos. La colaboración y el intercambio de conocimientos entre organizaciones también jugarán un papel clave en la defensa contra futuros ataques cibernéticos.