APT OceanLotus ataca a BMW

El conocido grupo y APT OceanLotus accedió a la red del gigante de automóviles BMW e instaló con éxito la herramienta Cobalt Strike que los ayudó a espiar y controlar remotamente el sistema. Al parecer el ataque fue descubierto por BMW y esto les permitió monitorear a los atacantes durante varios meses.

Se cree que el grupo OceanLotus actúa en nombre del Estado de Vietnam desde 2014, y se enfocan principalmente en la industria automotriz. OceanLotus  ha estado involucrado en varios ataques de malware de alto perfil y el grupo apunta a sectores privados en múltiples industrias, gobiernos extranjeros.

Los expertos en seguridad de BMW descubrieron que los atacantes penetraron en la red de la compañía y permanecen activos desde marzo de 2019. El fin de semana pasado, los expertos en seguridad de BMW bloquearon el acceso a las computadoras que le permitieron penetrar en la red y según el investigador Florian Roth (@cyb3rops)

BMW fue hackeado por #OceanLotus en la primavera de 2019
- se utilizó CobaltStrike
- no hay evidencia de que tuvieran acceso al centro de datos central en Munich
- Hyundai apuntó en la misma campaña https://t.co/WPLrqhkkHc

Según los informes de Bayerischer Rundfunk, "la compañía de automóviles de Munich finalmente retiró las computadoras en cuestión de la red. Los expertos en seguridad de TI del grupo habían estado monitoreando a los atacantes durante meses". Una fuente anónima informó que los atacantes no tuvieron acceso a ninguna información confidencial durante el período de ataque.

BMW se negó a comentar más sobre los incidentes de seguridad, pero en general dijeron: "Hemos implementado estructuras y procesos que minimizan el riesgo de acceso externo no autorizado a nuestros sistemas y nos permiten detectar, reconstruir y recuperar rápidamente en caso de un incidente".

Andreas Rohr, de la empresa de seguridad de TI Deutsche Cybersecurity organization (DCSO), dijo: "Si los atacantes penetran una red corporativa, por lo general tratan de mirar a su alrededor de la manera más discreta posible. Una vez que una empresa ha descubierto a los atacantes, es importante averiguar hasta qué punto se han extendido. Se les observa para esto, a veces durante meses. Por lo general, se beneficia de haber descubierto a alguien para ver dónde existen más compromisos".

Los expertos creen que los mismos grupos pueden haber estado involucrados en violaciones de seguridad automovilísticas anteriores, como el hack a Toyota, en el que los ciberdelincuentes accedieron al servidor y se les pudo haber filtrado 3,1 millones de datos personales de clientes en línea.

Fuente: GBHackers