Un diagrama de las tres APT que actúan contra las telecomunicaciones del sudeste asiático.
Imagen: Ciberaison

Ha surgido una nueva investigación que señala al gobierno chino por estar detrás de la piratería informática de las principales empresas de telecomunicaciones en el sudeste asiático, todo en un esfuerzo por espiar a figuras de alto perfil.

Publicado por Cybereason, el informe dice que encontró evidencia de tres grupos diferentes de ataques que se remontan al menos a 2017, todos perpetrados por grupos o individuos vinculados de alguna manera a grupos de amenazas persistentes avanzadas (APT). Soft Cell, Naikon y Group- 3390. , quienes han operado para el gobierno chino en el pasado.

VER: Política de respuesta a incidentes de seguridad (Premium de TechRepublic)

Cybereason dijo que cree que el propósito de los ataques era establecer un acceso continuo a los registros de los proveedores de telecomunicaciones "y facilitar el espionaje cibernético al recopilar información confidencial, comprometiendo activos comerciales de alto perfil, como servidores. archivos de facturación que contienen datos de registro de detalles de llamadas (CDR) , así como componentes de red clave, como controladores de dominio, servidores web y servidores de Microsoft Exchange.

Quienes estén familiarizados con las últimas noticias sobre seguridad cibernética probablemente habrán oído hablar del exploit utilizado por los atacantes para establecer el acceso. Es el mismo grupo de piratería con sede en China que usó Hafnium, y es el mismo que permitió a los atacantes infiltrarse en SolarWinds y Kaseya: un conjunto de cuatro vulnerabilidades de Microsoft Exchange Server recientemente reveladas.

La selección de objetivos también sigue a los ataques de SolarWinds, Kaseya y Hafnium: en estos casos, las APT comprometieron a terceros en un esfuerzo por monitorear a los clientes de alto valor de las organizaciones afectadas, como políticos, funcionarios gubernamentales responsables de la aplicación de la ley, políticos y otros disidentes.

Cybereason dijo que su equipo comenzó a investigar las vulnerabilidades de Exchange inmediatamente después de los ataques de Hafnium. "Durante la investigación, se identificaron tres grupos de actividad que mostraban vínculos significativos con actores de amenazas conocidos, todos sospechosos de operar en nombre de los intereses del estado chino". informe dijo. .

Se ha producido una superposición entre los tres grupos, dijo Cybereason, pero no puede entender por qué: "No hay suficiente información para determinar con certeza la naturaleza de esta superposición, es decir, si estos grupos representan el trabajo de tres actores de amenazas diferentes que trabajan de forma independiente, o si estos grupos representan el trabajo de tres equipos diferentes que operan en nombre de un solo actor de amenazas”, afirma el informe.

Independientemente de su origen, los ataques han sido altamente adaptables y mantienen activamente las puertas traseras que tienen en las redes de telecomunicaciones. El informe encontró que "los atacantes trabajaron diligentemente para ofuscar su actividad y mantener la persistencia en los sistemas infectados, respondiendo dinámicamente a los intentos de mitigación", lo que indica que los objetivos son muy valiosos para los atacantes.

VER: Cómo administrar contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (República Tecnológica)

“Estos ataques comprometieron a los operadores de telecomunicaciones principalmente en los países de la ASEAN, pero los ataques podrían replicarse contra los operadores de telecomunicaciones en otras regiones”, concluye el informe. Como suele ser el caso con los exploits ampliamente distribuidos utilizados por APT y ciberdelincuentes, hay parches disponibles para cerrar las brechas, y es lo mejor para las empresas que usan Microsoft Exchange tanto internamente como a través de Outlook Web. ).

Para obtener más información sobre el informe, asegúrese de asistir al seminario de Cybereason el 5 de agosto, donde hablará sobre sus hallazgos.