Desde principios de 2.018 las diferentes monitorizaciones de los servicios de seguridad de los Estados Unidos, tanto dependientes del Gobierno Federal como privados, han estado monitorizando una continua ola de intrusiones que tenían como objetivo entidades de los sectores estadounidenses de la ingeniería y el marítimo, especialmente los relacionados con la situación del mar del Sur de China. La campaña está ligada a un grupo de ciberespionaje chino que diferentes empresas de seguridad han estado siguiendo desde 2013, y al que han denominado TEMP.Periscope o Leviathan.
La campaña actual supone una fuerte escalada de la actividad detectada desde verano de 2017. Como muchos otros actores de ciberespionaje chinos, TEMP.Periscope ha vuelto a emerger recientemente y ha sido detectado realizando operaciones con un conjunto renovado de herramientas. Entre los objetivos conocidos de este grupo hay entidades relacionadas con la industria marítima, así como otras centradas en la ingeniería, e incluyen institutos de investigación, organizaciones académicas y compañías privadas de Estados Unidos.
Activo desde, al menos 2013, TEMP.Periscope se ha centrado principalmente en objetivos centrados en la industria marítima en múltiples sectores verticales, incluyendo empresas de ingeniería, de logística y transporte, fabricación industrial, defensa, gobierno y universidades de investigación. Sin embargo, el grupo también ha atacado organizaciones de servicios profesionales y consultoría, industria tecnológica, sanitaria y de los medios de comunicación y publicidad. En su mayoría, las víctimas identificadas se situaban en Estados Unidos, aunque también se han visto afectadas organizaciones europeas y, al menos, una en Hong Kong. TEMP.Periscope coincide en objetivos de ataque, así como en tácticas, técnicas y procedimientos (TTPs), con TEMP.Jumper, un grupo que también coincide significativamente con los informes publicados sobre “NanHaiShu”.
Fred Plan, Analista Senior de FireEye, una de las mayores empresas de ciberseguridad del mundo, ha afirmado que su empresa “descubrió un grupo de ciberespías chinos que parecen especializarse en recopilar datos de las industrias marítimas, y de forma más amplia, del sector de la ingeniería. Este grupo ha permanecido en calma, como muchos otros grupos chinos, tras el acuerdo Obama-Xi a finales de 2015.” Sin embargo, se observó cómo TEMP.Periscope volvía a la actividad hacia el verano de 2017, y el grupo ha sido particularmente activo desde el pasado febrero. Las organizaciones que han sido objetivo de TEMP.Periscope tienen una conexión con las negociaciones en curso sobre el mar del Sur de China. Estas organizaciones o sus clientes están relacionadas con las áreas de la defensa y militar o el negocio del transporte marítimo, o bien están desarrollando tecnologías que podrían ser ventajosas para el sector de la defensa o los gobiernos en la región. A causa de la tendencia del grupo a atacar organizaciones de ingeniería, pensamos que están buscando información técnica que pueda ayudar en la toma de decisiones estratégicas. Esto podría ser usado para responder preguntas como ¿cuál es el alcance y efectividad de este sistema de radar marítimo? O ¿con qué precisión puede un sistema detectar e identificar actividades en el mar?
En su reciente pico de actividad, TEMP.Periscope ha utilizado una gran librería de malware compartida con otros múltiples grupos presuntamente chinos. Entre ellas se incluyen varias puertas traseras como Airbreak, Badflick y Photo y otro tipo de herramientas como Homefry, que craquea contraseñas y ha sido usado previamente junto a Airbreak y Badflick, Lunchmoney, una herramienta de carga de archivos que puede exfiltrar archivos desde Dropbox, o a Murkytop, capaz de reconocer líneas de comandos y China Chopper, herramienta para la inyección de código, entre otras.
La actual ola de intrusiones identificadas es consecuente con TEMP.Periscope y probablemente refleja un esfuerzo coordinado para atacar sectores que podrían tener información capaz de proporcionar una ventaja económica, datos de investigación y desarrollo o de propiedad intelectual o que puedan suponer una ventaja en negociaciones comerciales.
