Ataque chino: amenaza estatal compromete proveedores de telecomunicaciones y redes

Un aviso conjunto de ciberseguridad de la Agencia de Seguridad Nacional, la Agencia de Ciberseguridad y Seguridad de Infraestructura y el FBI advierte sobre actores malintencionados que están aprovechando vulnerabilidades conocidas para atacar a organizaciones del sector público y privado en todo el mundo, incluyendo en los Estados Unidos. Este informe se basa en informes anteriores del NSA, CISA y FBI sobre tendencias destacadas de ciberseguridad y tácticas, técnicas y procedimientos persistentes.

Índice de Contenido
  1. Aprovechamiento de vulnerabilidades comunes
  2. Los atacantes se adaptan y monitorean constantemente las defensas
  3. Objetivos: proveedores de telecomunicaciones y servicios de red
  4. Cómo protegerse de esta amenaza

Aprovechamiento de vulnerabilidades comunes

Desde 2020, actores malintencionados patrocinados por el estado chino han llevado a cabo grandes campañas de ataque explotando vulnerabilidades de seguridad públicamente identificadas. En estas campañas, los atacantes obtienen acceso a cuentas válidas aprovechando vulnerabilidades en redes privadas virtuales u otros servicios accesibles desde Internet, sin utilizar su propio malware distintivo o identificable, lo que dificulta que los analistas de inteligencia en amenazas evalúen la amenaza. Estos dispositivos suelen pasar desapercibidos para el personal de seguridad.

VER: Violación de contraseñas: por qué la cultura popular y las contraseñas no son compatibles (PDF gratuito) (Newsmatic)

Los atacantes están utilizando herramientas de red sin parchear, como enrutadores de oficina o casa pequeños y dispositivos de almacenamiento conectados a la red, para llevar a cabo intrusiones en otras entidades de forma exitosa. El uso de estos enrutadores y dispositivos comprometidos les permite a los atacantes agregar una capa de anonimato a sus actividades al trabajar como proxies para enrutar el tráfico desde sus servidores C2 y actuar como puntos intermedios.

Las agencias han publicado una tabla que contiene las principales vulnerabilidades de dispositivos de red más frecuentemente aprovechadas por los actores malintencionados patrocinados por el estado chino desde 2020 (Figura A).

Figura A

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Una de las vulnerabilidades más aprovechadas es de 2017, mientras que la mayoría de las otras datan de 2018 y 2019. Estos exploits demuestran una vez más que los enrutadores y dispositivos NAS no están actualizados en las redes de las empresas, y algunos de ellos pueden no tener ningún parche.

Los atacantes se adaptan y monitorean constantemente las defensas

Como destacan las agencias estadounidenses, estos actores de amenazas cibernéticas evolucionan y adaptan constantemente sus tácticas para evadir las defensas que se les presentan. Se ha observado que los actores patrocinados por el estado monitorean las cuentas y acciones de los defensores antes de modificar sus campañas en curso según sea necesario para mantenerse indetectables.

Después de la divulgación de información relacionada con sus propias campañas, estos atacantes modifican de inmediato su infraestructura y conjunto de herramientas: registro de nuevos dominios, uso de nuevos servidores y cambios en el malware son medidas típicas que toman para mantener en marcha y exitosas sus campañas.

Finalmente, estos actores también combinan sus conjuntos de herramientas personalizados con las disponibles públicamente. Utilizar herramientas nativas del entorno de red es una técnica que a menudo utilizan para oscurecer su actividad y desaparecer entre el ruido de una red.

Objetivos: proveedores de telecomunicaciones y servicios de red

Los actores de amenazas principalmente utilizan herramientas de código abierto para realizar sus actividades de reconocimiento y escaneo de vulnerabilidades. Han utilizado software de enrutador específico de código abierto, como RouterSploit y RouterScan, para identificar enrutadores y sus vulnerabilidades asociadas de manera más precisa antes de atacarlos. También se utilizan herramientas públicas como PuTTY para establecer conexiones SSH.

Una vez que los atacantes logran un punto de apoyo inicial en una organización de telecomunicaciones o proveedor de servicios de red, identifican sistemas y usuarios críticos. Después de identificar un servidor RADIUS crítico, los actores de amenazas obtienen credenciales para acceder a la base de datos SQL subyacente y extraen contraseñas en texto plano y contraseñas encriptadas para cuentas de usuario y administrativas.

Cómo proteger tu computadora de los virus: métodos y consejos

Se ha desplegado scripts adicionales utilizando las credenciales RADIUS para autenticarse en un enrutador a través de una conexión SSH, ejecutar comandos de enrutador y guardar la salida. De esta manera, se guardar la configuración de cada enrutador de Cisco y Juniper objetivo.

Se han recopilado una gran cantidad de configuraciones de enrutador pertenecientes a empresas medianas y grandes, que luego podrían modificarse para dirigir y gestionar correctamente todo el tráfico de las redes hacia la infraestructura de los actores de amenazas.

Cómo protegerse de esta amenaza

Todos los sistemas operativos y software deben actualizarse y parchearse tan pronto como sea posible después de que se publiquen los parches. Los sistemas centralizados de gestión de parches pueden ayudar a automatizar y desplegar esos parches.

Debería utilizarse la segmentación de redes para bloquear posibles movimientos laterales de los atacantes. Los dispositivos, servicios, puertos y protocolos de red no utilizados o innecesarios deben desactivarse por completo.

El acceso VPN debería requerir autenticación de múltiples factores, y la complejidad de las contraseñas debe aumentarse.

Las capacidades de respuesta ante incidentes deben detallarse en documentos de procedimientos de respuesta y recuperación de incidentes, y los equipos de respuesta ante incidentes deben recibir capacitación regular para hacer frente a este tipo de amenazas.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son propias.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Ataque chino: amenaza estatal compromete proveedores de telecomunicaciones y redes , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.