Otros objetivos identificados incluyeron 2 puertos marítimos de la India
En medio de las intensas tensiones fronterizas entre India y China, los investigadores de ciberseguridad han revelado una campaña concertada contra la infraestructura crítica de India, incluida la red eléctrica del país, de grupos patrocinados por el estado chino.
Los ataques, que coincidieron con el enfrentamiento entre las dos naciones en mayo de 2020, tuvieron como objetivo un total de 12 organizaciones, 10 de las cuales se encuentran en el sector de generación y transmisión de energía.
"Diez organizaciones distintas del sector eléctrico de la India, incluidos cuatro de los cinco Centros Regionales de Despacho de Carga (RLDC) responsables del funcionamiento de la red eléctrica mediante el equilibrio del suministro y la demanda de electricidad, han sido identificadas como objetivos en una campaña concertada contra la infraestructura crítica de la India", dijo Recorded Future en un informe publicado ayer. "Otros objetivos identificados incluyeron 2 puertos marítimos de la India".
Entre las víctimas, las principales incluyen una planta de energía administrada por National Thermal Power Corporation (NTPC) Limited y Power System Operation Corporation Limited, con sede en Nueva Delhi.
Al fijar las intrusiones en un nuevo grupo denominado "RedEcho", los investigadores del Grupo Insikt de la firma de ciberseguridad dijeron que el malware desplegado por el actor de amenazas comparte una sólida infraestructura y la victimología se superpone con otro grupo chino APT41 (también conocido como Barium, Winnti o Wicked Panda) y Tonto Team.
Los conflictos fronterizos han estallado desde el año pasado después de enfrentamientos mortales entre soldados indios y chinos en el valle de Galwan de Ladakh. Mientras que 20 soldados indios murieron en los enfrentamientos, China identificó formalmente cuatro bajas de su lado por primera vez el 19 de febrero.
En los meses intermedios, el gobierno indio ha prohibido más de 200 aplicaciones chinas por supuestamente participar en actividades que plantean amenazas a "la seguridad nacional y la defensa de la India, lo que en última instancia afecta a la soberanía e integridad de la India".
Tras señalar que el enfrentamiento entre los dos países estuvo acompañado por una mayor actividad de espionaje en ambos lados, Recorded Future dijo que los ataques de China involucraron el uso de la infraestructura que rastrea como AXIOMATICASYMPTOTE, que abarca una puerta trasera modular de Windows llamada ShadowPad que se ha atribuido previamente a APT41 y posteriormente compartida entre otros actores respaldados por el estado chino.
Además, el informe también plantea preguntas sobre una posible conexión entre las escaramuzas y un apagón que paralizó Mumbai en octubre pasado.
Si bien la investigación inicial realizada por el departamento cibernético del estado indio occidental de Maharashtra rastreó el ataque hasta una pieza de malware no especificado identificado en un Centro de Despacho de Carga Estatal con sede en Padgha, los investigadores dijeron: "Sigue sin estar confirmado el supuesto vínculo entre la interrupción y el descubrimiento de la variante de malware no especificada".
"Sin embargo, esta divulgación proporciona evidencia adicional que sugiere la focalización coordinada de los Centros de Despacho de Carga de la India", agregaron.
Curiosamente, estos ciberataques se describieron como originados en Chengdu, que también es la base de una empresa de tecnología de red llamada Chengdu 404 Network Technology Company que operó como fachada para una ola de piratería de una década dirigida a más de 100 compañías de juegos de alta tecnología y en línea.
Pero no es solo China. En las semanas previas a los enfrentamientos en mayo, se dice que un grupo patrocinado por el estado llamado Sidewinder, que opera en apoyo de los intereses políticos indios, señaló a los militares chinos y entidades gubernamentales en un ataque de spear-phishing utilizando señuelos relacionados con COVID-19 o las disputas territoriales entre Nepal, Pakistán, India y China.
Dejando a un lado el modus operandi, el hallazgo es otro recordatorio de por qué la infraestructura crítica sigue siendo un lucrativo objetivo para un adversario que busca cortar el acceso a los servicios esenciales utilizados por millones de personas.
"Las intrusiones se superponen con el sector energético indio anterior dirigido por grupos de actividad de amenazas chinos en 2020 que también utilizaron la infraestructura AXIOMATICASYMPTOTE", concluyeron los investigadores. "Por lo tanto, el enfoque en apuntar al sistema eléctrico de la India posiblemente indica una sostenida intención estratégica de acceder a la infraestructura energética de la India".