Cybereason ha anunciado el descubrimiento de varias campañas de ciberataque no identificadas anteriormente que se han infiltrado en los principales proveedores de telecomunicaciones del sudeste asiático. Al igual que en los recientes ataques de SolarWinds y Kaseya, los actores de la amenaza afectaron a proveedores de servicios de terceros, en este caso, proveedores de telecomunicaciones, con la intención de obtener las comunicaciones sensibles de sus clientes.
El informe llega tras la reprimenda pública del Gobierno de Biden al Ministerio de Seguridad del Estado de China por los recientes ataques HAFNIUM, que aprovecharon las vulnerabilidades de los servidores Microsoft Exchange sin parchear y pusieron en peligro a miles de organizaciones de todo el mundo. El aprovechamiento de estas mismas vulnerabilidades ha sido fundamental para el éxito de los ataques detallados en esta investigación.
En el informe, titulado DeadRinger: Identificando las amenazas chinas contra las grandes empresas de telecomunicaciones, se han identificado múltiples grupos de actividad de ataque que han evadido la detección desde al menos 2017 y se considera que son obra de varios grupos prominentes de amenazas persistentes avanzadas (APT) alineados con los intereses del gobierno de China. Cybereason ha observado una importante superposición de tácticas, técnicas y procedimientos (TTP) en las tres operaciones y ha evaluado que los atacantes probablemente tenían objetivos paralelos bajo la dirección de un organismo de coordinación centralizado alineado con los intereses del Estado chino.
“Los ataques son muy preocupantes porque socavan la seguridad de los proveedores de infraestructuras críticas y exponen la información confidencial y de propiedad de organizaciones tanto públicas como privadas que dependen de las comunicaciones seguras para llevar a cabo sus negocios. Estas operaciones de espionaje patrocinadas por un estado no sólo afectan negativamente a los clientes y socios comerciales de las empresas de telecomunicaciones, sino que también tienen el potencial de amenazar la seguridad nacional de los países de la región y de aquellos que tienen intereses en la estabilidad de la región”, ha afirmado el director general y cofundador de Cybereason, Lior Div. “Esta es la razón por la que Cybereason mantiene un equipo global de expertos investigadores de inteligencia de amenazas cuyo objetivo es exponer las tácticas, técnicas y procedimientos de los adversarios avanzados para que podamos proteger mejor a las organizaciones de este tipo de ataques complejos, tanto ahora como en el futuro.”
Las revelaciones clave del informe DeadRinger incluyen:
? Ataques flexibles, persistentes y evasivos: Los atacantes, altamente flexibles, han trabado diligentemente para ocultar su actividad y mantener la persistencia en los sistemas infectados, respondiendo dinámicamente a los intentos de mitigación después de haber evadido los esfuerzos de seguridad desde al menos 2017, una prueba de que los objetivos son de gran valor para los atacantes.
? Compromiso de terceros para alcanzar objetivos específicos: Al igual que en los recientes ataques de SolarWinds y Kaseya, los actores de la amenaza atacaron a terceros, en este caso empresas de telecomunicaciones, con la intención de vigilar a clientes específicos de alto valor de las empresas de telecomunicaciones afectadas.
? Aprovechamiento de vulnerabilidades de Microsoft Exchange: Al igual que en los ataques HAFNIUM, los actores de la amenaza han explotado vulnerabilidades recientemente reveladas en los servidores Microsoft Exchange para obtener acceso a las redes objetivo. A continuación, han procedido a comprometer activos de red críticos como los controladores de dominio (DC) y los sistemas de facturación, que contienen información altamente sensible como los datos del registro de detalles de llamadas (CDR), lo que les ha permitido acceder a las comunicaciones sensibles de cualquier persona que utilizara los servicios de telecomunicaciones afectados.
? Objetivos de espionaje de alto valor: Sobre la base de los hallazgos anteriores del Informe de la Operación Soft Cellque Cybereason publicó en 2019, así como de otros análisis publicados de operaciones realizadas por estos mismos actores de la amenaza, se evalúa que las telecomunicaciones han sido comprometidas para facilitar el espionaje contra objetivos seleccionados. Es probable que estos objetivos incluyan corporaciones, representantes políticos, funcionarios gubernamentales, agencias policiales, activistas políticos y facciones disidentes de interés para el gobierno chino.
? Operaciones en interés de China: Tres grupos distintos de ataques tienen diversos grados de conexión con los grupos APT Soft Cell, Naikon y Group-3390, todos ellos conocidos por operar en interés del gobierno chino. Los solapamientos en las TTP de los atacantes en los grupos son una prueba de la probable conexión entre los actores de la amenaza, lo que respalda la evaluación de que cada grupo tenía objetivos paralelos de vigilancia de las comunicaciones de objetivos específicos de alto valor bajo la dirección de un organismo de coordinación centralizado alineado con los intereses del Estado chino.
? Posibilidad de un impacto más amplio: Estos ataques han afectado principalmente a las empresas de telecomunicaciones de los países de la Asociación de Naciones del Sudeste Asiático (ASEAN), pero podrían repetirse contra empresas de telecomunicaciones de otras regiones. Si bien la evaluación predominante es que las operaciones estaban destinadas únicamente al espionaje, el hecho es que, si los atacantes hubieran decidido cambiar sus objetivos de espionaje a interferencia, habrían tenido la capacidad de interrumpir las comunicaciones de cualquiera de los clientes de telecomunicaciones afectados.