Las redes aisladas de Internet, objetivo de los hackers y el ciberespionaje

El informe APT 30 and the Mechanics of a Long-Running Cyber Espionage Operation, lanzado por Fire Eye, ha analizado la actividad de un grupo de hackers, posiblemente relacionados con China, que se ha centrado en atacar partes de las redes no directamente conectadas a Internet de empresas del Sudeste asiático e India. FireEye lo encontró tras detectar que malware creado por el grupo había infectado a clientes de la defensa de EEUU, según Jen Weedon de la empresa FireEye.

El grupo de hackers ha actualizado constantemente su malware, pero las herramientas generalmente utilizadas no han sido muy sofisticadas, utilizando parte de la misma infraestructura durante años. Las organizaciones que se han visto afectadas tendrían medidas laxas de seguridad, lo que les hizo ser un blanco fácil ya que los atacantes no tuvieron que usar técnicas de ataque avanzadas o muy sofisticadas.

El grupo tenía especial interés en la relación entre China y la India, incluyendo temas de fronteras, si bien la campaña del grupo ha afectado también a Corea del Sur, Malasia, Vietnam, Tailandia, Arabia Saudí y EEUU. Otros países afectados en menor medida son Nepal, Bután, the Filipinas, Singapore, Indonesia, Brunei, Myanmar, Laos, Camboya y Japón.

Lo más interesante del APT 30 es que desarrolló herramientas diseñadas moverse de los sistemas conectados a Internet hacia aquellos no están conectados. Los gobiernos utilizan redes air-gapped para reducir la posibilidad de un ataque externo. El grupo creo componentes de malware con una función similar al de “tipo gusano” para infectar unidades extraíbles tipo USBs o discos duros. Esos dispositivos podían transmitir el malware si se conectaban a un dispositivo en un una red air-gapped.