Ciberataques de Salt Typhoon vinculado a China y otros en redes de EE. UU. incluyendo infraestructuras de defensa; Cómo vulneran y cómo mantenerse seguro.

Ciberseguridad y Amenazas Globales: Un Alerta de la Agencia de Defensa Cibernética de EE.UU.

La Agencia de Defensa Cibernética de EE.UU. ha emitido una advertencia alarmante sobre la actividad de hackers patrocinados por el Estado, vinculados a la República Popular de China. Estos actores maliciosos están apuntando a redes críticas a nivel mundial, afectando sectores como las telecomunicaciones, el gobierno, el transporte, la hospitalidad e incluso la infraestructura militar. Su modus operandi incluye la explotación de enrutadores de backbone de gran importancia y el aprovechamiento de dispositivos comprometidos para mantener un acceso a largo plazo.

La Actividad Maliciosa en Números

La actividad cibernética relacionada con este problema se ha observado en múltiples regiones, incluyendo Estados Unidos, Australia, Canadá, Nueva Zelanda, y el Reino Unido. Los expertos en ciberseguridad han vinculado estas operaciones con campañas como Salt Typhoon, Operator Panda, RedMike, UNC5807, y GhostEmperor. Sin embargo, los organismos de seguridad advierten que no están utilizando una sola convención comercial para etiquetar a estos grupos, prefiriendo referirse a ellos como actores de Amenaza Persistente Avanzada (APT).

Identificando a los Sancionados: Empresas Chinas Accusadas

El Reino Unido, junto con aliados internacionales, hizo públicas acusaciones contra tres empresas tecnológicas basadas en China. Los nombres implicados son Sichuan Juxinhe Network Technology Co. Ltd, Beijing Huanyu Tianqiong Information Technology Co., y Sichuan Zhixin Ruijie Network Technology Co. Ltd. Este anuncio tiene como objetivo informar sobre un esfuerzo cibernético global dirigido a redes críticas, con información técnica que destaca cómo estas empresas han estado involucradas en ataques a organizaciones de importancia nacional a nivel internacional.

¿Qué es Salt Typhoon?

Salt Typhoon es el nombre asignado por investigadores en ciberseguridad a un grupo APT patrocinado por el Estado, conocido por llevar a cabo campañas de espionaje de larga duración. Desde al menos 2021, este grupo ha tenido como objetivo sectores críticos en todo el mundo. La Agencia Nacional de Ciberseguridad del Reino Unido ha revelado que estos ataques han sido exitosos y han permitido a los servicios de inteligencia chinos robar datos sensibles y mantener un acceso encubierto a largo plazo.

Explotación de Vulnerabilidades: El Método de los APTs

Los APT utilizan infraestructuras como servidores privados virtuales (VPS) y enrutadores intermedios comprometidos, los cuales no están asociados a botnets públicas. Esto incluye a proveedores de telecomunicaciones y servicios de red. A menudo comprometen dispositivos de borde, sin importar quién los posea, para llegar a los objetivos centrales de interés. Esta táctica no solo les permite acceder a sistemas críticos, sino también mantener su acceso encubierto.

Los actores pueden modificar la rutina, habilitar la duplicación de tráfico y configurar túneles GRE/IPsec para asegurar acceso continuo. La explotación de dispositivos vulnerables a través de varias direcciones IP les facilita revisitar sistemas para operaciones adicionales.

Medidas para Protegerse

Con el aumento de ciberataques, es crucial que las organizaciones implementen medidas efectivas para protegerse. A continuación, se presentan algunas estrategias recomendadas:

1. Mantener sistemas actualizados: Realizar parches regularmente en enrutadores, servidores y software para cerrar vulnerabilidades conocidas.
2. Monitorear el tráfico de red: Utilizar sistemas de detección de intrusos para identificar actividades inusuales.
3. Segmentar redes: Limitar el movimiento lateral al aislar la infraestructura crítica de las redes generales.
4. Autenticación fuerte: Implementar la autenticación multifactor para cuentas administrativas y de acceso remoto.
5. Limitar la exposición de dispositivos de borde: Asegurar los dispositivos de cliente y proveedor para prevenir la explotación.
6. Auditar y revisar registros: Inspeccionar registros de sistema y red regularmente para detectar anomalías.
7. Encriptar comunicaciones: Usar VPNs, túneles IPsec, o métodos de encriptación para proteger datos en tránsito.
8. Seguridad de la cadena de suministro: Evaluar las prácticas de seguridad de proveedores para prevenir que los atacantes pivoten a través de conexiones confiables.
9. Plan de respuesta a incidentes: Tener un plan claro para responder a brechas, notificando a las autoridades y aislando sistemas comprometidos.
10. Compartir inteligencia sobre amenazas: Colaborar con centros de ciberseguridad y grupos de la industria para estar informado sobre amenazas emergentes.

La ciberseguridad es un reto complejo y en constante evolución, y requiere que organizaciones y gobiernos permanezcan alerta y proactivos para mitigar los riesgos asociados con las APT y otros actores maliciosos.