Es muy probable que los piratas informáticos chinos hayan robado cantidades desconocidas de datos militares secretos rusos. Se usó una brecha relativamente antigua en el software de Microsoft Office en combinación con un diseño cuidadosamente diseñado. suplantación de identidad correos electrónicos
Un ataque cibernético: impresión artística. Crédito de la imagen: Jesús Carneiro vía FlickrCC BY-NC 2.0
Este anuncio proviene de un sitio web. CNoticiasque se refiere a un encuesta publicada por Kaspersky ICS CERT equipo de investigación en ciberseguridad. La noticia publicada no revela detalles específicos sobre la magnitud del daño causado durante este ciberataque a gran escala, aunque señala que el ataque estaba dirigido a varias empresas industriales que trabajan en un sector militar, así como a agencias gubernamentales e institutos de investigación de la Federación Rusa.
La vulnerabilidad utilizada para realizar el ataque se conoce con el nombre en clave CVE-2017-11882. Se detectó por primera vez en 2017, pero parece que todavía no está solucionado, incluso cuando el grado de gravedad y el nivel de riesgo se consideran altos.
El ataque lo estaba llevando a cabo desde enero de 2022 un grupo relacionado con China TA428, que al menos hasta cierto punto parece estar especializado en campañas similares contra países de Europa del Este, incluida Rusia. Según los expertos de Kaspersky, los piratas informáticos “lograron infiltrarse en decenas de empresas y, en algunas, incluso apoderarse por completo de la infraestructura de TI y tomar el control de los sistemas de gestión de soluciones de seguridad”.
Curiosamente, para esta actividad en particular, TA428 se había preparado muy a fondo. Se enviaron archivos maliciosos mediante correos electrónicos de phishing con el objetivo de propagar el virus PortDoor, que es capaz de robar datos y realizar operaciones de espionaje. El texto contenido en los correos electrónicos se diseñó sin errores obvios e incluía múltiples bits de datos específicos (como nombres e información de la organización) que normalmente no están disponibles para personas ajenas. Existe una alta probabilidad de que TA428 haya robado estos detalles confidenciales o incluso las muestras de correo electrónico completas durante ataques anteriores contra otras empresas afiliadas.
Según el informe, el ataque pasó desapercibido durante varios meses, por lo que uno solo puede imaginarse la cantidad y el alcance de la información sustraída. Los nombres de las empresas afectadas no se revelan.
