El grupo de ciberatacantes chino APT-41 (también conocido como Bario o Winnti) es un viejo conocido para la comunidad de ciberseguridad por sus ciberataques. De acuerdo con MITRE ATT&CK, se trata de un grupo de origen Chino activo desde 2012 y respaldado por su estado. Al parecer, ha estado involucrado tanto en la recolección de inteligencia estratégica de multinacionales como en ataques con motivos económicos a sectores tan diversos como los videojuegos, la salud y el de telecomunicaciones y tecnología.

Su último gran ciberataque precisamente se ha centrado en estos últimos sectores: un grupo de analistas ha descubierto que APT41 ha tratado de explotar, en los dos últimos meses, vulnerabilidades en dispositivos y aplicaciones de las compañías especializadas en soluciones tecnológicas empresariales B2B Cisco, Citrix y Zoho, aprovechando la situación de teletrabajo de muchas empresas ante la pandemia provocada por el COVID-19.

Vulnerabilidades en momentos de incertidumbre_

Los investigadores que han descubierto el caso explican en su informe que APT-41 realizó, entre el 20 de enero y el 11 de marzo de este año, ciberataques dirigidos a 75 compañías de múltiples sectores entre los que se incluyen el de telecomunicaciones, el financiero, el industrial, el de salud, las administraciones públicas e incluso el de defensa. Su método ha sido aprovechar las vulnerabilidades de tecnologías B2B utilizadas por muchas empresas en momentos de más incertidumbre y uso por parte de estas. Entre las vulnerabilidades aprovechadas, destacan:

  • Vulnerabilidad CVE-2019-19781 en el Citrix Application Delivery Controller (ADC): esta vulnerabilidad afecta parcialmente a la integridad y la confidencialidad de los sistemas. Aunque fue descubierta el 17 de diciembre, APT-41 no tardó en explotarla, tanto en el año nuevo Chino como durante el confinamiento con la Pandemia del COVID-19.
  • Vulnerabilidades CVE-2019-1653 y CVE-2019-1652 en routers de Cisco: en este caso, el grupo atacó una compañía de telecomunicaciones el 21 de febrero combinando ambas vulnerabilidades posiblemente a través de un módulo de Metasploit, una herramienta de código abierto muy utilizada por la comunidad de ciberseguridad para Pentesting.
  • Vulnerabilidad CVE-2020-10189 en la solución Zoho ManageEngine Desktop Central: el 5 de marzo fue publicada una PoC (Prueba de concepto) y el grupo comenzó a explotar esta vulnerabilidad tan solo tres días después, logrando un ciberataque con éxito en al menos 5 compañías.

Actualizar y parchear_

Como han demostrado estos ciberataques de APT-41, estos grupos organizados y con apoyos estatales son extremadamente rápidos en aprovechar las vulnerabilidades de las aplicaciones empresariales: en ocasiones no tardan más de dos o tres días desde que se descubre la vulnerabilidad para realizar sus ciberataques.

Es por ello, que la principal barrera de prevención contra los ciberataques de este tipo es contar con los sistemas completamente actualizados y parchearlos en el momento que aparezca alguna vulnerabilidad. Pero esta tarea no es sencilla, ya que, en muchas ocasiones, los departamentos de IT no cuentan con suficientes recursos o tiempo para descubrir todas ellas y/o hacerlo por sí solos.

Como respuesta a ello, los clientes de Cytomic pueden contar con unos servicios para Operaciones de IT muy completos, entre los que se encuentra Cytomic Patch: gracias a ello, pueden identificar y gestionar las vulnerabilidades de los sistemas operativos y cientos de aplicaciones habituales en entornos empresariales en tiempo real. Además, les ofrece al mismo tiempo un mecanismo de parcheado centralizado desde la propia consola cloud de Cytomic.

Su principal ventaja es que el módulo no depende de sistemas de escaneo de vulnerabilidades, un proceso que es muy lento y puede llevar días o semanas. En su lugar, aprovecha los datos ya recogidos por nuestro agente para proporcionar visibilidad en tiempo real de la exposición al riesgo de la empresa por sistemas operativos o aplicaciones no actualizadas o aplicaciones discontinuadas y vulnerables. De esta manera, desde la  consola única, los equipos de seguridad e IT podrán verificar el estado de actualización, programar o aplicar inmediatamente las actualizaciones necesarias. Así podrán tener siempre los sistemas permanentemente al día y evitar que grupos como APT-41 puedan realizar ciberataques a través de vulnerabilidades de sus sistemas empresariales.