Los investigadores de seguridad informaron el lunes que los piratas informáticos chinos pueden estar detrás de una serie de ataques cibernéticos dirigidos a empresas de telecomunicaciones de todo el mundo.
Se dice que la campaña, llamada «Operación Soft Cell», ha estado activa desde 2012. temporada de internetuna empresa de seguridad de terminales con sede en Boston.
Hay alguna evidencia de actividad incluso anterior dirigida a los proveedores de telecomunicaciones, todos fuera de América del Norte, dijeron los investigadores.
Los atacantes intentaron robar todos los datos almacenados en los servidores de Active Directory de la organización, incluidos todos los nombres de usuario y contraseñas de la empresa, así como otra información de identificación personal, datos de facturación, registros de detalles de llamadas, credenciales, servidores de correo electrónico, geolocalización de usuarios, etc. , según el informe Espera.
Según las herramientas utilizadas en el ataque (como PoisonIvy RAT) y las tácticas, técnicas y procedimientos desplegados por los atacantes, la campaña probablemente fue lanzada por el notorio grupo de piratería chino APT10, anotaron los investigadores.
El Departamento de Justicia acusó a dos miembros de APT10 el año pasado de conspiración para cometer intrusión informática, conspiración para cometer fraude electrónico y robo de identidad agravado.
Hay algunas pruebas sólidas de que APT10 está detrás de estos ataques, como la forma en que personalizan PoisonIvy y las migas de pan especiales que dejan atrás, dijo el jefe de seguridad Sam Curry. temporada de internet.
«La forma en que se realiza la personalización, la forma en que lo escriben, es algo que hemos visto una y otra vez», dijo a TechNewsWorld. «Es muy probable que sean piratas informáticos chinos».
Tabla de Contenidos
increíble ataque
El informe señaló que los piratas informáticos atacaron organizaciones en oleadas en el transcurso de varios meses. Durante ese tiempo, pudieron mapear la red de destino y filtrar las credenciales. Esto les permite comprometer activos críticos, como servidores de producción y bases de datos, e incluso controladores de dominio.
“Además de apuntar a usuarios individuales, este tipo de ataques también son motivo de preocupación debido a la amenaza que representa el control de los proveedores de telecomunicaciones”, afirma el informe.Las telecomunicaciones se han convertido en infraestructura crítica en la mayoría de las potencias mundiales. Como en el caso aquí, un actor de amenazas con acceso completo a un proveedor de telecomunicaciones puede atacar de la manera pasiva que quiera, así como también comprometer activamente la red. «
Los investigadores de Cybereason dicen que el ataque tiene implicaciones de gran alcance, no solo para los individuos, sino también para las organizaciones y las naciones, entre otros.
«El uso de herramientas específicas y la elección de ocultar operaciones que han estado en curso durante años sugieren la presencia de un actor de amenazas de un estado-nación, muy probablemente China”, escribieron. “Esta es otra forma de guerra cibernética que se utiliza para establecer un afianzarse y recopilar información de forma encubierta hasta que estén listos para atacar».
Hay similitudes entre Operation Soft Cell y otro ataque de telecomunicaciones, dijo Lavi Lazarovitz, gerente del grupo de investigación de redes. Laboratorio del Arca Cibernéticauna empresa de seguridad de la información con sede en Newton, Massachusetts.
«Este ataque generalizado a las empresas de telecomunicaciones tiene características similares a la Operación Socialista», dijo a TechNewsWorld.
La Operación Socialista, el movimiento de la CIA y el GCHQ del Reino Unido expuesto por Edward Snowden, está tratando de tomar el control de la compañía belga de telecomunicaciones Belgacom.
«Aprovecha las cuentas privilegiadas y posiblemente los administradores en la sombra para la persistencia y el control», dijo Lazarovitz.
información útil
El investigador principal de seguridad, Jonathan Tanner, señaló que la información obtenida por operaciones como la Operación Soft Cell podría ser invaluable para las agencias de inteligencia extranjeras. Barracuda Redescon sede en Campbell, California.
«Simplemente rastrear la vida cotidiana de un objetivo puede usarse por múltiples motivos, desde enumerar contactos hasta el reclutamiento de activos, el secuestro o el asesinato», dijo a TechNewsWorld.
Tanner explicó que este tipo de trabajo tradicionalmente ha sido realizado por equipos de vigilancia, pero a medida que avanza la tecnología, cada vez es más fácil obtener información por otros medios con menos esfuerzo humano.
«La ironía es que muchos operadores en realidad vendieron estos datos a través de terceros como Zumigo, que los revendieron sin investigar los antecedentes del comprador», dijo.
Los datos robados a las empresas de telecomunicaciones no solo son valiosos para las agencias de inteligencia chinas.
“Este tipo de ataque ayudará enormemente a Huawei en su intento de obtener el control de la mayor parte posible del espacio 5G”, dijo el analista de amenazas Jonathan Olivera. red centrípetauna empresa de ciberseguridad con sede en Heddon, Virginia.
«Cuando un país como China depende de la vigilancia y el robo de propiedad intelectual para mantener su impulso, será muy difícil detener y detener la expansión», dijo a TechNewsWorld.
guion conocido
La amplitud y persistencia del ataque no fue la única característica frustrante de la operación Soft Cell.
«Es como cualquier otro truco que hemos escuchado en grandes organizaciones a lo largo de los años», dijo Chet Wisniewski, científico investigador principal de la firma de administración de amenazas y seguridad cibernética Sophos, con sede en el Reino Unido.
«Está claro que estas grandes empresas no se toman estas cosas lo suficientemente en serio, especialmente aquellas que tienen nuestra información confidencial. El gran papel que desempeñan estas empresas en nuestras vidas requiere que se tomen la seguridad más en serio», dijo a TechNewsWorld.
«Estos muchachos están haciendo cosas que cualquier probador de penetración experto haría», dijo Wisniewski.
«No hay nada supersecreto en estos ataques. No hay un nuevo día cero aquí, ninguna herramienta nueva de la que nadie haya oído hablar antes. Todo está listo para usar. Podría enseñarle a un estudiante universitario cómo usarlo en un semestre». Eso», dijo.
«Conocemos el libro de jugadas», agregó Wisniewski, «y las grandes empresas deberían poder esquivarlo».
Guerra fría en el ciberespacio
El CTO de Soft Cell, Satya Gupta, señaló que es probable que actividades como Operation Soft Cell continúen sin cesar. vesakuna empresa de seguridad de aplicaciones con sede en San José, California.
«Mientras haya tensión política e inestabilidad en cualquier región, estos ataques continuarán en el futuro previsible”, dijo a TechNewsWorld. Ambos tienen valor político y económico».
En cuanto a China, en su mayor parte parece cómoda con el espionaje económico, pero eso también puede cambiar en el futuro.
“Mientras estemos en una guerra comercial, no estoy tan preocupado porque China está comenzando a sentir una amenaza en su esfera de influencia”, dijo Richard Steennon, analista jefe de investigación. cosecha de TIuna firma de analistas de la industria con sede en Birmingham, Michigan.
«Si se trata de una guerra comercial, el objetivo de interés para China será el mismo de siempre: el espionaje económico. Si se trata de una esfera de influencia, el objetivo de interés podría aumentar drásticamente», dijo a TechNewsWorld.
«Básicamente estamos en una guerra fría cibernética, y muchos de los mismos factores aún se aplican a la escalada de las hostilidades y el deseo general de evitar una guerra real debido a la actividad en curso”, agregó Tanner de Barracuda. »Las naciones continuarán empujando los límites, pero los ataques Un aumento significativo en los incidentes tiene el potencial de ser visto como un acto de guerra, que ningún país quiere ver».
