Etiquetas

Al menos 25 dependencias de gobierno mexicano vulnerables a ciberatacantes de origen chino


Imagen: Zdzisław Beksiński


Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.

La unidad de investigación de SILIKN ha lanzado una advertencia sobre el aumento en la actividad de un grupo de ciberatacantes chinos, identificado como una Amenaza Persistente Avanzada 41 (APT41). En los últimos meses, este grupo ha logrado infiltrarse en aproximadamente 58 entidades gubernamentales de 19 naciones diferentes, incluyendo a México.

APT41 es un grupo activo en el ámbito cibernético, conocido por su participación en operaciones de espionaje respaldadas por el estado chino, así como por actividades con posibles motivaciones financieras que podrían no estar directamente vinculadas al gobierno chino.

La unidad de investigación de SILIKN sugiere que APT41 podría estar colaborando con iSoon, un grupo de ciberataque chino asociado a una red de contratistas provenientes de una comunidad de hackers con motivaciones patrióticas en China. Esta posible colaboración podría haber ampliado su capacidad para infiltrarse en agencias gubernamentales.

Es importante destacar que APT41 no recurre a malware extremadamente sofisticado ni a tácticas sigilosas; en su lugar, utiliza una variedad de herramientas mayormente de código abierto y bien documentadas, así como vulnerabilidades recién descubiertas y técnicas de ingeniería social convencionales para comprometer a sus objetivos.

Apuntando hacia un mínimo de 120 organizaciones distribuidas en 50 países, este grupo ha confirmado al menos 58 ataques exitosos, los cuales involucran a varias agencias gubernamentales internacionales. Las víctimas pertenecen a una amplia gama de sectores, como educación, telecomunicaciones, finanzas, tecnología de la información y deportes, entre otros, con casos reportados en México, Brasil, Colombia, Costa Rica, Perú y Paraguay.

En el contexto de México, APT41 ha dirigido sus esfuerzos hacia la infiltración de entidades gubernamentales, motivado por la extensa y compleja infraestructura tecnológica que suelen poseer estas instituciones. Esta complejidad ha generado brechas en las prácticas de seguridad, dificultando la defensa efectiva contra diversos tipos de ataques.

En esta perspectiva, APT41 ha estado explorando la web en busca de servidores públicos de interés, especialmente aquellos vinculados a entidades gubernamentales. Utilizando diversas herramientas disponibles en el mercado de código abierto, el grupo verifica las vulnerabilidades que pueden ser aprovechadas, centrándose principalmente en servidores Microsoft Exchange a través de Outlook. Como resultado de este proceso, APT41 lleva a cabo dos acciones principales: establecer accesos no autorizados en los servidores comprometidos y tomar el control de cuentas de correo electrónico.

La estrategia de utilizar sistemas y cuentas de correo electrónico legítimas para respaldar sus ataques es particularmente interesante, ya que les permite engañar a las víctimas haciéndoles creer que están seguras. Aprovechando listas de contactos de alto valor y la credibilidad obtenida al utilizar cuentas auténticas, el grupo envía correos electrónicos con líneas de asunto relevantes (como “Aviso del Servicio de Administración Tributaria”), enlaces URL o archivos adjuntos maliciosos. Tanto a través de correos electrónicos como de vulnerabilidades en servidores web, los diferentes objetivos de APT41 terminan descargando una o varias puertas traseras.

APT41 ha demostrado un uso frecuente de Cobalt Strike junto con otras herramientas de código abierto, lo cual dificulta que los equipos de ciberseguridad identifiquen su infraestructura de comando y control.

Debido a lo anterior, la unidad de investigación de SILIKN sugiere implementar las mejores prácticas convencionales para mitigar este tipo de amenazas. Se insta a las organizaciones a fortalecer la seguridad de sus sistemas de correo electrónico para contrarrestar el phishing, a mantener actualizados y aplicar regularmente parches en sus sistemas para prevenir vulnerabilidades conocidas y a segmentar sus redes para reducir la propagación de un atacante en su infraestructura.

Algunas de las dependencias de gobierno que están vulnerables a este tipo de ataques son:

  • Secretaría de Desarrollo Económico de la Ciudad de México
  • Portal de Transparencia de la Ciudad de México
  • Secretaría de la Función Pública
  • Gobierno del Estado de Durango
  • Secretaría de Educación de Veracruz
  • Servicio Nacional de Sanidad, Inocuidad y Calidad Agroalimentaria
  • Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado
  • Secretaría de Seguridad y Protección Ciudadana
  • Gobierno del Estado de Oaxaca
  • Secretaría de Salud
  • Secretaría de Educación del Estado de Puebla
  • Gobierno del Estado de Tabasco
  • Secretaría de Educación Pública
  • Suprema Corte de Justicia de la Nación
  • Gobierno del Estado de Guanajuato
  • Secretaría del Trabajo y Previsión Social
  • Gobierno del Estado de Nuevo León
  • Gobierno del Estado de México
  • Secretaría de Salud de Veracruz
  • Poder Judicial del Estado de Nuevo León
  • Instituto Mexicano de la Juventud
  • Secretaría de Seguridad Pública de Puebla
  • Secretaría de Educación de Coahuila
  • Instituto Nacional de Investigaciones Forestales, Agrícolas y Pecuarias
  • Secretaría de Finanzas de la Ciudad de México

Para más información, visite: https://www.silikn.com/
Etiquetas: