Un aviso conjunto emitido por Australia, Canadá, Nueva Zelanda y Estados Unidos advirtió sobre una amplia campaña de ciberespionaje emprendida por actores de amenazas afiliados a la República Popular China (RPC) dirigida a proveedores de telecomunicaciones.
“Las explotaciones identificadas o los compromisos asociados con la actividad de estos actores de amenazas se alinean con las debilidades existentes asociadas con la infraestructura de las víctimas; no se ha observado ninguna actividad nueva”, dijeron las agencias gubernamentales.
Funcionarios estadounidenses dijeron el martes que los actores de amenazas todavía acechan dentro de las redes de telecomunicaciones estadounidenses unos seis meses después de que comenzara una investigación sobre las intrusiones.
Los ataques se han atribuido a un grupo de estados-nación de China rastreado como Salt Typhoon, que se superpone con actividades rastreadas como Earth Estries, FamousSparrow, GhostEmperor y UNC2286. Se sabe que el grupo está activo desde al menos 2020, y algunos de los artefactos se desarrollaron ya en 2019.
La semana pasada, T-Mobile reconoció que detectó intentos de malos actores de infiltrarse en sus sistemas, pero señaló que no se accedió a los datos de los clientes.
La noticia de la campaña de ataque se conoció por primera vez a finales de septiembre, cuando The Wall Street Journal informó que el grupo de hackers se infiltró en varias empresas de telecomunicaciones estadounidenses como parte de sus esfuerzos por obtener información confidencial. China ha rechazado las acusaciones.
Para contrarrestar los ataques, las agencias de inteligencia y ciberseguridad han publicado una guía sobre las mejores prácticas que se pueden adaptar para reforzar las redes empresariales:
- Examinar e investigar cualquier modificación o alteración de la configuración de los dispositivos de red, como conmutadores, enrutadores y firewalls.
- Implementar una sólida solución de monitoreo del flujo de red y capacidad de administración de red.
- Limitar la exposición del tráfico de gestión a Internet
- Monitorear los inicios de sesión de usuarios y cuentas de servicio para detectar anomalías
- Implemente un registro seguro y centralizado con la capacidad de analizar y correlacionar grandes cantidades de datos de diferentes fuentes.
- Asegúrese de que la administración de dispositivos esté físicamente aislada de las redes de producción y del cliente.
- Aplique una estrategia estricta de ACL de denegación predeterminada para controlar el tráfico entrante y saliente.
- Emplear una fuerte segmentación de red mediante el uso de ACL de enrutador, inspección de paquetes con estado, capacidades de firewall y construcciones de zona desmilitarizada (DMZ).
- Asegure las puertas de enlace de la red privada virtual (VPN) limitando la exposición externa
- Asegúrese de que el tráfico esté cifrado de extremo a extremo en la mayor medida posible y que se utilice Transport Layer Security (TLS) v1.3 en cualquier protocolo compatible con TLS para proteger los datos en tránsito a través de una red.
- Deshabilite todos los protocolos de descubrimiento innecesarios, como Cisco Discovery Protocol (CDP) o Link Layer Discovery Protocol (LLDP), así como otros servicios explotables como Telnet, File Transfer Protocol (FTP), Trivial FTP (TFTP), SSH v1, Hypertext Transfer. Servidores de protocolo (HTTP) y SNMP v1/v2c
- Deshabilitar el enrutamiento de origen del Protocolo de Internet (IP)
- Asegúrese de que no se utilicen contraseñas predeterminadas
- Confirme la integridad de la imagen del software en uso utilizando una utilidad de cálculo de hash confiable, si está disponible
- Realizar escaneos de puertos y escaneos de infraestructuras conocidas orientadas a Internet para garantizar que no se pueda acceder a servicios adicionales a través de la red o desde Internet.
- Supervise los anuncios de fin de vida útil (EOL) de los proveedores para dispositivos de hardware, versiones de sistemas operativos y software, y actualice lo antes posible.
- Almacene contraseñas con algoritmos hash seguros
- Requerir autenticación multifactor (MFA) resistente al phishing para todas las cuentas que accedan a los sistemas de la empresa
- Limite la duración de los tokens de sesión y solicite a los usuarios que se vuelvan a autenticar cuando caduque la sesión.
- Implementar una estrategia de control de acceso basado en roles (RBAC), eliminar las cuentas innecesarias y revisar periódicamente las cuentas para verificar que sigan siendo necesarias.
“La aplicación de parches a dispositivos y servicios vulnerables, así como la seguridad general de los entornos, reducirá las oportunidades de intrusión y mitigará la actividad de los actores”, según la alerta.
El acontecimiento se produce en medio de crecientes tensiones comerciales entre China y Estados Unidos, con Beijing prohibiendo las exportaciones de minerales críticos como galio, germanio y antimonio a Estados Unidos en respuesta a la represión de este último contra la industria de semiconductores de China.
A principios de esta semana, el Departamento de Comercio de EE.UU. anunció nuevas restricciones que tienen como objetivo limitar la capacidad de China para producir semiconductores de nodos avanzados que puedan usarse en aplicaciones militares, además de frenar las exportaciones a 140 entidades.
Si bien las empresas chinas de chips se han comprometido desde entonces a localizar las cadenas de suministro, las asociaciones industriales del país han advertido a las empresas nacionales que los chips estadounidenses “ya no son seguros”.
