Los sistemas que albergan contenido relacionado con los Juegos Nacionales de China fueron violados con éxito el año pasado por un grupo de piratas informáticos de habla china no identificado.
La empresa de ciberseguridad Avast, que disecado la intrusión, dijo que los atacantes obtuvieron acceso a un servidor web 12 días antes del inicio del evento el 3 de septiembre para lanzar múltiples shells web inversos para el acceso remoto y lograr un punto de apoyo permanente en la red.
El Juegos Nacionales de Chinaun evento polideportivo que se celebra cada cuatro años, tuvo lugar en la provincia de Shaanxi entre el 15 y el 27 de septiembre de 2021.
La compañía checa dijo que no pudo determinar la naturaleza de la información robada por los piratas informáticos y agregó que tiene «razones para creer [the attackers] son hablantes nativos de chino o muestran una gran fluidez en chino». Se dice que la brecha se resolvió antes del comienzo de los juegos.
El acceso inicial se facilitó aprovechando una vulnerabilidad en el servidor web. Pero antes de eliminar los shells web, el adversario también experimentó con el tipo de archivos que podía cargar en el servidor, solo para continuar con el envío de un código ejecutable que se hacía pasar por archivos de imágenes aparentemente inofensivos.
Además, se intentaron reconfigurar el servidor para ejecutar el Shell web detrásen su defecto, los operadores «cargaron y ejecutaron un servidor Tomcat completo correctamente configurado y armado» con la herramienta posterior a la explotación.
“Después de obtener acceso, los atacantes intentaron moverse a través de la red utilizando exploits y servicios de fuerza bruta de forma automatizada”, dijeron los investigadores de Avast David Álvarez Pérez y Jan Neduchal.
Entre otras herramientas cargadas en el servidor, se incluyeron un escáner de red y un marco de explotación personalizado con un solo clic escrito en Go que permitió al actor de amenazas realizar movimientos laterales e ingresar de forma autónoma en otros dispositivos dentro de la misma red.
«Go es un lenguaje de programación cada vez más popular que se puede compilar para múltiples sistemas operativos y arquitecturas, en un solo binario que contiene todas las dependencias», dijeron los investigadores, señalando el uso cada vez mayor de Malware basado en Go para realizar ciberataques.
«Así que esperamos ver malware y herramientas grises escritas en este idioma en futuros ataques, especialmente en [Internet of things] ataques en los que está involucrada una amplia variedad de dispositivos que aprovechan diferentes tipos de arquitecturas de procesador».
