Los actores de amenazas chinos han estado comprometiendo las redes de telecomunicaciones durante años, según una investigación


Los piratas informáticos vinculados al gobierno chino invadieron las principales empresas de telecomunicaciones «en todo el sudeste asiático», dice la firma de informes Cybereason, y las herramientas que utilizaron sonarán familiares.

deadringer-diagram.jpg

Un diagrama de las tres APT que actúan contra las telecomunicaciones del sudeste asiático.

Imagen: Cybereason

Se ha publicado una nueva investigación que señala con el dedo al gobierno chino por estar detrás de los ataques a las principales empresas de telecomunicaciones del sudeste asiático, todo con el propósito de espiar a personas de alto perfil.

Publicado por Cybereason, el informe dijo que encontró evidencia de tres grupos diferentes de ataques que se remontan al menos a 2017, todos perpetrados por grupos o individuos conectados de alguna manera a grupos de amenazas persistentes avanzadas (APT) Soft Cell, Naikon y Team-3390 , que han operado para el gobierno chino en el pasado.

VER: Política de respuesta a incidentes de seguridad (TechRepublic High quality)

Cybereason dijo que cree que el objetivo de los ataques period establecer un acceso continuo a los registros de proveedores de telecomunicaciones «y facilitar el ciberespionaje mediante la recopilación de información confidencial, comprometiendo activos comerciales de alto perfil, como los servidores de facturación que contienen datos de Call Detail History (CDR), así como los componentes clave de la red, como los controladores de dominio, los servidores internet y los servidores de Microsoft Exchange «.

Aquellos que estén al día con las últimas noticias de ciberseguridad probablemente habrán oído hablar del exploit que los atacantes utilizaron para establecer el acceso. Es el mismo grupo de piratería con sede en China que utilizó Hafnium, y es el mismo que permitió a los atacantes infiltrarse en SolarWinds y Kaseya: un conjunto de cuatro vulnerabilidades de Microsoft Exchange Server reveladas recientemente.

La selección de objetivos también sigue el ejemplo de los ataques de SolarWinds, Kaseya y Hafnium: las APT en esos casos comprometieron a terceros con la intención de vigilar a los clientes de alto valor de las organizaciones afectadas, como figuras políticas, funcionarios gubernamentales encargados de hacer cumplir la ley, disidentes políticos y otros.

Cybereason dijo que su equipo comenzó a investigar las vulnerabilidades de Trade inmediatamente después de los ataques de Hafnium. «Durante la investigación, se identificaron tres grupos de actividad que mostraron conexiones significativas con actores de amenazas conocidos, todos sospechosos de operar en nombre de los intereses estatales chinos», dice el informe. .

Se ha producido una superposición entre los tres grupos, dijo Cybereason, pero no puede entender por qué: «No hay suficiente información para determinar con certeza la naturaleza de esta superposición, es decir, si estos grupos representan el trabajo de tres actores de amenazas diferentes que trabajan independientemente, o si estos grupos representan el trabajo de tres equipos diferentes que operan en nombre de un solo actor de amenazas «, dice el informe.

Independientemente del origen, los ataques han sido muy adaptables y mantienen activamente las puertas traseras que tienen en las redes de telecomunicaciones. El informe encontró que «los atacantes trabajaron diligentemente para ocultar su actividad y mantener la persistencia en los sistemas infectados, respondiendo dinámicamente a los intentos de mitigación», lo que indica que los objetivos son muy valiosos para los atacantes.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

«Estos ataques comprometieron a las empresas de telecomunicaciones principalmente en los países de la ASEAN, pero los ataques podrían replicarse contra empresas de telecomunicaciones en otras regiones», concluyó el informe. Como suele ser el caso de los exploits ampliamente publicitados que utilizan las APT y los ciberdelincuentes, hay parches disponibles que cierran las brechas y redundan en el mejor interés de las empresas que utilizan Microsoft Exchange tanto internamente como a través de Outlook World wide web Accessibility (dirigido por uno de los clústeres). ).

Para obtener más información sobre el informe, asegúrese de asistir Seminario de Cybereason del 5 de agosto, donde discutirá sus hallazgos.

Ver también



Enlace a la noticia initial