[ad_1]
La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos ha emitido sanciones contra una empresa de ciberseguridad de Beijing por su papel en ataques atribuidos a un grupo de ciberespionaje chino conocido como Flax Typhoon.
La empresa, llamada Integrity Technology Group (Integrity Tech), está acusada de proporcionar la infraestructura informática que Flax Typhoon utilizó en sus operaciones entre el verano de 2022 y el otoño de 2023.
Sin embargo, según un aviso conjunto del FBI, la NSA y las agencias de inteligencia de Canadá, Australia y el Reino Unido, la compañía también mantuvo la infraestructura de comando y control para un botnet que consta de más de 260.000 dispositivos IoT comprometidos.
«Integrity Technology Group (Integrity Tech) es una empresa con sede en la República Popular China con vínculos con el gobierno de la República Popular China», dijeron las agencias en su asesoramiento En el momento. “Integrity Tech ha utilizado las direcciones IP de la red de la provincia de Beijing de China Unicom para controlar y administrar la botnet descrita en este aviso. Además de gestionar la botnet, estas mismas direcciones IP de la red China Unicom de la provincia de Beijing se utilizaron para acceder a otra infraestructura operativa empleada en actividades de intrusión informática contra víctimas estadounidenses”.
La actividad maliciosa, que incluyó comprometer a organizaciones estadounidenses en el sector de infraestructura crítica, fue atribuida a Flax Typhoon, un grupo de ciberespionaje patrocinado por el estado chino activo desde 2021 y también conocido como RedJuliett y Ethereal Panda.
Las sanciones de la OFAC bloquear todos los activos de Integrity Tech que se encuentren en los EE. UU. o bajo el control de personas estadounidenses. Los activos de las entidades en las que Integrity Tech tiene más del 50% de propiedad también están bloqueados y todos los individuos y organizaciones tienen prohibido realizar transacciones comerciales o financieras con ellos o con la empresa china.
Botnet global de IoT Flax Typhoon
La botnet de Flax Typhoon data de al menos 2021 y se basa en Mirai, una familia de malware para dispositivos IoT basados en Linux cuyo código está disponible públicamente. Antes de 2016, Mirai solía ser una de las botnets de IoT más grandes y potentes, siendo responsable de algunos de los mayores ataques DDoS jamás grabado. Después de que su creador lo abandonara y su código se publicara en línea, muchos grupos de amenazas crearon sus propias variantes de botnet basadas en él.
La botnet de Flax Typhoon utiliza exploits conocidos para comprometer enrutadores, firewalls, cámaras IP, grabadoras de video digital, dispositivos de almacenamiento conectados a la red y otros servidores basados en Linux. En junio, la botnet tenía más de 260.000 nodos activos, pero la base de datos de sus servidores de comando y control enumeraba más de 1,2 millones de dispositivos comprometidos, tanto activos como inactivos, 385.000 de los cuales estaban ubicados en los EE. UU.
«Los servidores de administración alojaban una aplicación conocida como Sparrow que permite a los usuarios interactuar con la botnet», dijeron las agencias de inteligencia en su aviso de septiembre. «Los actores utilizaron direcciones IP específicas registradas en China Unicom Beijing Province Network para acceder a esta aplicación, incluidas las mismas direcciones IP utilizadas anteriormente por Flax Typhoon para acceder a los sistemas utilizados en actividades de intrusión informática contra víctimas basadas en Estados Unidos».
La botnet de Flax Typhoon se puede utilizar para lanzar ataques DDoS, que es una característica inherente de Mirai, pero también se puede ordenar a los nodos que exploten otros dispositivos tradicionales en las mismas redes mediante el uso de una colección de exploits. Los analistas encontraron un subcomponente llamado “arsenal de vulnerabilidad” que podría usarse para tales actividades de movimiento lateral.
Flax Typhoon ha comprometido redes informáticas en América del Norte, Europa, África y Asia, pero el grupo se centra especialmente en Taiwán, que está en el centro de los intereses geopolíticos de China. Una vez que obtienen acceso a una red de interés, los piratas informáticos del grupo suelen implementar programas legítimos de acceso remoto para mantener un control persistente.
A principios de esta semana, el Departamento del Tesoro reveló que un grupo chino APT patrocinado por el estado obtuvo acceso a varias de sus estaciones de trabajo y accedió a documentos no clasificados. El acceso fue el resultado de una clave comprometida utilizada para el acceso remoto seguro a través de un servicio de terceros de BeyondTrust. El grupo APT responsable aún no ha sido identificado públicamente.
[ad_2]
Enlace fuente
