McAfee descubre una campaña de espionaje dirigida a las principales empresas de telecomunicaciones


La compañía de seguridad dijo que los ataques se atribuyeron a RedDelta y Mustang Panda, ambos supuestamente basados ​​en China.

cyberwar.jpg

Imagen: iStockphoto / Gangis_Khan

El equipo de Inteligencia Estratégica de Investigación de Amenazas Avanzadas de McAfee ha identificado una campaña de espionaje que dirigido específicamente a las empresas de telecomunicaciones en un ataque denominado «Operación Diànxùn». Los investigadores de McAfee Thomas Roccia, Thibault Seret y John Fokker dijeron en una publicación de site que el malware está usando tácticas similares a las vistas por grupos como RedDelta y Mustang Panda.

Roccia, Seret y Fokker escribieron que creen que el objetivo de la campaña es robar u obtener acceso a información encubierta relacionada con la tecnología 5G utilizando malware disfrazado de aplicaciones Flash.

VER: El futuro de 5G: proyecciones, implementaciones, casos de uso y más (PDF gratuito) (TechRepublic)

Empresas de ciberseguridad Intsights y Optimistic Systems tanto Mustang Panda identificado el año pasado como grupo avanzado de amenazas persistentes detrás de una serie de ataques con temática COVID-19 sobre personas en Vietnam y Mongolia. Los ataques involucraron correos electrónicos de phishing relacionados con COVID-19 cargados con archivos .rar maliciosos que, al descomprimirse, instalaron un troyano de puerta trasera en la máquina de la víctima.

RedDelta también es bien conocida por los investigadores de seguridad por su trabajo en los ataques al Vaticano, el antiguo gobierno civil de Myanmar y dos universidades de Hong Kong el año pasado. Según McAfee, los ataques utilizaron «la puerta trasera de PlugX utilizando la carga lateral de DLL con software legítimo, como Phrase o Acrobat, para comprometer los objetivos».

Ahora, el grupo, que se cree que tiene su sede en China, está persiguiendo al sector de las telecomunicaciones, y los investigadores de McAfee escribieron que creen que el ataque es relacionado con la prohibición de la tecnología china en el lanzamiento global de 5G.

«Si bien el vector inicial de la infección no está del todo claro, creemos con un nivel medio de confianza que las víctimas fueron atraídas a un dominio bajo el handle del actor de la amenaza, desde el cual fueron infectadas con malware que el actor de la amenaza aprovechó para realizar acciones adicionales. descubrimiento y recopilación de datos «, dijo el informe de McAfee.

«Creemos con un nivel medio de confianza que los atacantes utilizaron un sitio internet de suplantación de identidad disfrazado de la página de carrera de la empresa Huawei para dirigirse a personas que trabajan en la industria de las telecomunicaciones. Descubrimos malware que se hacía pasar por aplicaciones Flash, que a menudo se conectaban al dominio» hxxp: / /update.careerhuawei.net «que estaba bajo el manage del actor de la amenaza. El dominio malicioso se diseñó para parecerse al sitio profesional legítimo de Huawei, que tiene el dominio: hxxp: //profession.huawei.com. En diciembre, también observó un nuevo nombre de dominio utilizado en esta campaña: hxxp: //update.huaweiyuncdn.com «.

Según la investigación de McAfee, los objetivos de los ataques se encuentran en Estados Unidos, Europa y el sudeste asiático, con un enfoque específico en las empresas de telecomunicaciones alemanas y vietnamitas.

img-4596.png "src =" https://www.techrepublic.com/a/hub/i/r/2021/03/15/10877908-854b-4ffd-a9f5-2fc7e8ab39ef/resize/770x/1396c66708b958f3cd7101ce9315bd0e/img -4596.png

Un mapa de dónde se dirigieron los ataques.

Imagen: McAfee

«La investigación de McAfee ATR sobre la Operación Diànxùn revela un actor de amenazas capaz que actualiza continuamente las tácticas en un esfuerzo por extraer datos para sus propios fines», dijo a TechRepublic Raj Samani, miembro de McAfee y científico jefe.

«Si bien la atención se centrará en el actor de la amenaza, la recomendación es centrarse en los IoC y los TTP disponibles para no solo buscar la amenaza, sino también implementar controles que eviten que dichos adversarios tengan éxito».

Si bien hubo un interés inicial de docenas de gobiernos en permitir que empresas chinas como Huawei y ZTE construyeran redes 5G, Estados Unidos y algunos países europeos lo han hecho en los últimos meses. presionó a los países para que detuvieran los esfuerzos de implementación por preocupaciones de que el gobierno chino tendría algún nivel de acceso o manage sobre los sistemas, según Overseas Policy y Reuters.

El ex presidente Donald Trump y su administración presionaron a otros países a través de una serie de declaraciones bilaterales para evitar la contratación de empresas chinas para sistemas 5G, lo que provocó la indignación del gobierno chino, que acusó a Estados Unidos y Europa de manipular el libre mercado a favor de las empresas con sede en sus propios países.

En este informe hemos sacado a la luz una reciente operación de espionaje supuestamente atribuida a un grupo APT chino. En cuanto al sector objetivo (telecomunicaciones), creemos que esta campaña se utilizó para acceder a datos sensibles y para espiar empresas relacionadas con la tecnología 5G. Además, el uso de un sitio internet falso de Huawei brinda más pistas sobre los objetivos de las telecomunicaciones «. el informe dijo.

«El anuncio de la prohibición de Huawei en varios países podría haber motivado la operación. Los métodos operativos fueron asignados previamente a los grupos chinos RedDelta y Mustang Panda. Si bien creemos que los dos actores podrían ser iguales, basándonos en técnicas similares, tácticas y procedimientos, actualmente no tenemos más pruebas. Curiosamente, el grupo RedDelta se ha dirigido anteriormente a organizaciones católicas, mientras que esta campaña se centra principalmente en las telecomunicaciones «.

Ver también



Enlace a la noticia initial