El gigante estadounidense de las telecomunicaciones T-Mobile ha confirmado que tambi\u00e9n se encontraba entre las empresas que fueron atacadas por actores de amenazas chinos para obtener acceso a informaci\u00f3n valiosa.<\/p>\n
Los adversarios, identificados como Salt Typhoon, irrumpieron en la empresa como parte de una “campa\u00f1a de meses” dise\u00f1ada para recopilar comunicaciones m\u00f3viles de “objetivos de inteligencia de alto valor”. No est\u00e1 claro qu\u00e9 informaci\u00f3n se tom\u00f3, si la hubo, durante la actividad maliciosa.<\/p>\n
“T-Mobile est\u00e1 monitoreando de cerca este ataque en toda la industria y, en este momento, los sistemas y datos de T-Mobile no se han visto afectados de manera significativa y no tenemos evidencia de impactos en la informaci\u00f3n del cliente”, dijo un portavoz de la compa\u00f1\u00eda. era citado<\/a> como dijo a The Wall Street Journal. “Continuaremos monitoreando esto de cerca, trabajando con pares de la industria y las autoridades pertinentes”.<\/p>\n Con el \u00faltimo desarrollo, T-Mobile se ha unido a una lista de organizaciones importantes como AT&T, Verizon y Lumen Technologies que han sido se\u00f1aladas como parte de lo que parece ser una campa\u00f1a de ciberespionaje en toda regla.<\/p>\n Hasta ahora, los informes no mencionan el grado de \u00e9xito de estos ataques, si se instal\u00f3 alg\u00fan tipo de malware o qu\u00e9 tipo de informaci\u00f3n buscaban. El acceso no autorizado de Salt Typhoon a los registros de datos m\u00f3viles de los estadounidenses era anteriormente revelado<\/a> por Pol\u00edtico.<\/p>\n La semana pasada, el gobierno de EE.UU. dicho<\/a> su investigaci\u00f3n en curso sobre los ataques a la infraestructura de telecomunicaciones comerciales revel\u00f3 un hackeo “amplio y significativo” orquestado por la Rep\u00fablica Popular China (RPC).<\/p>\n “Los actores afiliados a la RPC han comprometido redes en m\u00faltiples compa\u00f1\u00edas de telecomunicaciones para permitir el robo de datos de registros de llamadas de clientes, el compromiso de comunicaciones privadas de un n\u00famero limitado de individuos que est\u00e1n involucrados principalmente en actividades gubernamentales o pol\u00edticas, y la copia de cierta informaci\u00f3n que estaba sujeto a solicitudes de aplicaci\u00f3n de la ley de Estados Unidos de conformidad con \u00f3rdenes judiciales”, dicho<\/a>.<\/p>\n Advirti\u00f3 adem\u00e1s que el alcance de estos compromisos podr\u00eda crecer a medida que contin\u00faa la investigaci\u00f3n.<\/p>\n Se dice que Salt Typhoon, tambi\u00e9n conocido como Earth Estries, FamousSparrow, GhostEmperor y UNC2286, ha estado activo desde al menos 2020, seg\u00fan Trend Micro. En agosto de 2023, el equipo de esp\u00edas fue vinculado a una serie de ataques dirigidos a industrias gubernamentales y tecnol\u00f3gicas con sede en Filipinas, Taiw\u00e1n, Malasia, Sud\u00e1frica, Alemania y Estados Unidos.<\/p>\n El an\u00e1lisis muestra que los actores de amenazas han elaborado met\u00f3dicamente sus cargas \u00fatiles y han utilizado una interesante combinaci\u00f3n de herramientas y t\u00e9cnicas leg\u00edtimas y personalizadas para eludir las defensas y mantener el acceso a sus objetivos.<\/p>\n “Earth Estries mantiene la persistencia actualizando continuamente sus herramientas y emplea puertas traseras para el movimiento lateral y el robo de credenciales”, afirman los investigadores de Trend Micro Ted Lee, Leon M Chang y Lenart Bermejo. dicho<\/a> en un an\u00e1lisis exhaustivo publicado a principios de este mes.<\/p>\n “La recopilaci\u00f3n y exfiltraci\u00f3n de datos se realiza mediante Trillclient, mientras que herramientas como cURL se utilizan para enviar informaci\u00f3n a servicios an\u00f3nimos de intercambio de archivos, empleando servidores proxy para ocultar el tr\u00e1fico de puerta trasera”.<\/p>\n La compa\u00f1\u00eda de ciberseguridad dijo que observ\u00f3 dos cadenas de ataques distintas empleadas por el grupo, lo que indica que el arte que Salt Typhoon tiene en su arsenal es tan amplio como variado. El acceso inicial a las redes de destino se facilita mediante la explotaci\u00f3n de vulnerabilidades en servicios externos o utilidades de administraci\u00f3n remota.<\/p>\n En un conjunto de ataques, se descubri\u00f3 que el actor de amenazas aprovecha instalaciones de QConvergeConsole vulnerables o mal configuradas para entregar malware como Cobalt Strike, un ladr\u00f3n personalizado basado en Go llamado TrillClient, y puertas traseras como HemiGate y Crowdoor, una variante de SparrowDoor que tiene previamente utilizado por otro grupo vinculado a China llamado Soldado tropical<\/a>.<\/p>\n Algunas de las otras t\u00e9cnicas incluyen el uso de PSExec para instalar lateralmente sus puertas traseras y herramientas, y TrillClient para recopilar credenciales de usuario de perfiles de usuario del navegador web y exfiltrarlas a una cuenta de Gmail controlada por el atacante a trav\u00e9s del Protocolo simple de transferencia de correo (SMTP) para promover sus objetivos.<\/p>\n La segunda secuencia de infecci\u00f3n, por el contrario, es mucho m\u00e1s sofisticada: los actores de amenazas abusan de servidores Microsoft Exchange susceptibles para implantar el shell web China Chopper, que luego se utiliza para distribuir Cobalt Strike, Zingdoor y Snappybee (tambi\u00e9n conocido como Deed RAT). un presunto sucesor del SombraPad<\/a> malware.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/Hackers-chinos-explotan-T-Mobile-y-otras-empresas-de-telecomunicaciones-estadounidenses.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n