Uso de herramientas de código abierto en campañas de ciberespionaje
Observaciones recientes
En el panorama de la ciberseguridad, los actores maliciosos han comenzado a aprovechar herramientas de código abierto como parte de una presunta campaña de ciberespionaje. Esta actividad ha sido monitoreada por el Insikt Group de Recorded Future bajo el nombre temporal TAG-100. Se sospecha que estos actores han comprometido organizaciones en al menos diez países de África, Asia, América del Norte y del Sur, y Oceanía.
Objetivos y técnicas utilizadas
Desde febrero de 2024, se han identificado ataques dirigidos a entidades diplomáticas, gubernamentales, de la cadena de suministro de semiconductores, organizaciones sin fines de lucro y religiosas en países como Camboya, Djibouti, República Dominicana, Fiji, Indonesia, Países Bajos, Taiwán, Reino Unido, Estados Unidos y Vietnam.
TAG-100 emplea capacidades de acceso remoto de código abierto para explotar dispositivos expuestos a internet. Entre las herramientas utilizadas se encuentran backdoors escritos en Go como Pantegana y Spark RAT tras la explotación.
Cadena de ataques
La cadena de ataques suele comenzar con la explotación de vulnerabilidades conocidas en productos expuestos a internet, tales como:
- Citrix NetScaler
- F5 BIG-IP
- Zimbra
- Microsoft Exchange Server
- SonicWall
- Cisco Adaptive Security Appliances (ASA)
- Palo Alto Networks GlobalProtect
- Fortinet FortiGate
Actividades de reconocimiento
El grupo también ha sido observado realizando actividades de reconocimiento en dispositivos expuestos a internet en al menos quince países, incluidos Cuba, Francia, Italia, Japón y Malasia, afectando, por ejemplo, a diversas embajadas cubanas en Bolivia, Francia y Estados Unidos.
Caso específico de Palo Alto Networks GlobalProtect
A partir del 16 de abril de 2024, TAG-100 llevó a cabo actividades de reconocimiento y explotación dirigidas a dispositivos Palo Alto Networks GlobalProtect, principalmente en el sector educativo, financiero, legal, gubernamental local y de servicios públicos en Estados Unidos. Estas actividades coincidieron con la publicación de un exploit de prueba de concepto (PoC) para la vulnerabilidad CVE-2024-3400 (con un puntaje CVSS de 10.0), una vulnerabilidad crítica de ejecución remota de código que afecta a los firewalls de Palo Alto Networks GlobalProtect.
Tras el acceso inicial exitoso, se observa la implementación de herramientas como Pantegana, Spark RAT y Cobalt Strike Beacon en los sistemas comprometidos.
Conclusión
Estos hallazgos demuestran cómo los exploits de PoC pueden combinarse con programas de código abierto para organizar ataques, disminuyendo efectivamente la barrera de entrada para actores maliciosos menos sofisticados. Además, este tipo de tácticas complica los esfuerzos de atribución y facilita la evasión de la detección.
La focalización de dispositivos expuestos a internet es particularmente atractiva ya que proporciona un acceso inicial a la red objetivo a través de productos que a menudo tienen capacidades limitadas de visibilidad y registro, así como soporte deficiente para soluciones tradicionales de seguridad, lo que reduce el riesgo de detección post-explotación.
Para más detalles, puedes consultar el informe completo de Recorded Future.