Los piratas informáticos patrocinados por el estado chino estuvieron husmeando en una empresa de ingeniería global con sede en EE. UU. durante meses, tratando de robar información clasificada, planos, credenciales de inicio de sesióny otros datos confidenciales.
Un reportaje exclusivo de El Registrodiscutió la noticia con John Dwyer, director de investigación de seguridad de Binary Defense, una empresa de detección y respuesta administrada que fue contratada para investigar una vez que se descubrió el ataque.
La empresa objetivo no fue nombrada, pero se describió como fabricante de “componentes para organizaciones aeroespaciales públicas y privadas y otros sectores críticos, incluidos el petróleo y el gas”. El colectivo de hackers tampoco fue identificado con precisión, aunque los investigadores dijeron que creían que era chino y, además, patrocinado por el estado.
TI no administrada
El grupo llegó a la infraestructura de la empresa a través de tres servidores AIX no gestionados. Estos servidores fabricados por IBM ejecutan Advanced Interactive eXecutive Sistema operativoun sistema operativo basado en UNIX y, aparentemente, todavía tenía las credenciales de inicio de sesión predeterminadas. Eso permitió a los actores de amenazas entrar por la fuerza bruta, después de lo cual demostraron perseverancia y acecharon durante meses. Los investigadores creen que la intrusión ocurrió originalmente en marzo de este año.
El objetivo del grupo era recopilar información, que probablemente luego podría usarse en ataques a la cadena de suministro. Dado que la organización fabrica equipos para sectores críticos, el riesgo de que un hardware importante quebrara era real.
La empresa víctima tenía detección y respuesta de endpoints (EDR) sistemas configurados. Sin embargo, estos servidores AIX eran tan antiguos que no eran compatibles con el EDR y, como tales, no eran monitoreados. El Registro las describió como “máquinas hace mucho tiempo o casi olvidadas”, implementaciones de TI en la sombra que a menudo no se gestionan en absoluto.
Sin embargo, cuando los delincuentes intentaron volcar la memoria del proceso LSASS en un servidor Windows (una “forma común de recolectar credenciales”, afirma la publicación), fueron descubiertos y bloqueados.
A través de El Registro