Se ha atribuido a un nuevo grupo de ciberespionaje vinculado a China estar detr\u00e1s de una serie de ciberataques dirigidos a entidades de telecomunicaciones en el sur de Asia y \u00c1frica desde al menos 2020 con el objetivo de permitir la recopilaci\u00f3n de inteligencia.<\/p>\n
La empresa de ciberseguridad CrowdStrike est\u00e1 rastreando al adversario bajo el nombre Panda liminal<\/strong>describi\u00e9ndolo como poseedor de un conocimiento profundo sobre las redes de telecomunicaciones, los protocolos que sustentan las telecomunicaciones y las diversas interconexiones entre proveedores.<\/p>\n La cartera de malware del actor de amenazas incluye herramientas personalizadas que facilitan el acceso clandestino, el comando y control (C2) y la filtraci\u00f3n de datos.<\/p>\n “Liminal Panda ha utilizado servidores de telecomunicaciones comprometidos para iniciar intrusiones en otros proveedores en otras regiones geogr\u00e1ficas”, dijo el equipo de Operaciones Contra Adversarios de la compa\u00f1\u00eda. dicho<\/a> en un an\u00e1lisis del martes.<\/p>\n “El adversario lleva a cabo elementos de su actividad de intrusi\u00f3n utilizando protocolos que soportan las telecomunicaciones m\u00f3viles, como la emulaci\u00f3n de protocolos del sistema global para comunicaciones m\u00f3viles (GSM) para habilitar C2 y el desarrollo de herramientas para recuperar informaci\u00f3n de suscriptores m\u00f3viles, metadatos de llamadas y mensajes de texto (SMS). “.<\/p>\n Vale la pena se\u00f1alar que algunos aspectos de la actividad de intrusi\u00f3n fueron documentados por la compa\u00f1\u00eda de ciberseguridad en octubre de 2021, atribuy\u00e9ndolos luego a un grupo de amenazas diferente denominado LightBasin (tambi\u00e9n conocido como UNC1945), que tambi\u00e9n tiene un historial de atacar a entidades de telecomunicaciones desde al menos 2016. .<\/p>\n CrowdStrike se\u00f1al\u00f3 que su extensa revisi\u00f3n de la campa\u00f1a revel\u00f3 la presencia de un actor de amenazas completamente nuevo, y que la atribuci\u00f3n err\u00f3nea de hace tres a\u00f1os fue el resultado de m\u00faltiples equipos de hackers que llevaron a cabo sus actividades maliciosas en lo que dijo que era una “red comprometida altamente cuestionada”.<\/p>\n Algunas de las herramientas personalizadas de su arsenal son SIGTRANslator, CordScan y PingPong, que vienen con las siguientes capacidades:<\/p>\n Se han observado ataques de Liminal Panda infiltr\u00e1ndose en servidores DNS externos (eDNS) utilizando contrase\u00f1as extremadamente d\u00e9biles y centradas en terceros, y el equipo de pirater\u00eda utiliza TinyShell junto con un emulador SGSN disponible p\u00fablicamente llamado sgsnemu<\/a> para comunicaciones C2.<\/p>\n “TinyShell es una puerta trasera Unix de c\u00f3digo abierto utilizada por m\u00faltiples adversarios”, dijo CrowdStrike. “Los SGSN son esencialmente puntos de acceso a la red GPRS, y el software de emulaci\u00f3n permite al adversario canalizar el tr\u00e1fico a trav\u00e9s de esta red de telecomunicaciones”.<\/p>\n El objetivo final de estos ataques es recopilar telemetr\u00eda de red e informaci\u00f3n de suscriptores o violar otras entidades de telecomunicaciones aprovechando los requisitos de conexi\u00f3n de interoperaci\u00f3n de la industria.<\/p>\n “La conocida actividad de intrusi\u00f3n de LIMINAL PANDA ha abusado t\u00edpicamente de las relaciones de confianza entre proveedores de telecomunicaciones y de brechas en las pol\u00edticas de seguridad, permitiendo al adversario acceder a la infraestructura central desde hosts externos”, dijo la compa\u00f1\u00eda.<\/p>\n La divulgaci\u00f3n se produce cuando proveedores de telecomunicaciones estadounidenses como AT&T, Verizon, T-Mobile y Lumen Technologies se han convertido en el objetivo de otro grupo de pirater\u00eda del nexo con China denominado Salt Typhoon. En todo caso, estos incidentes sirven para resaltar c\u00f3mo las telecomunicaciones y otros proveedores de infraestructura cr\u00edtica son vulnerables al compromiso de ataques patrocinados por el estado.<\/p>\n La empresa francesa de ciberseguridad Sekoia ha caracterizado el ecosistema cibern\u00e9tico ofensivo chino como una empresa conjunta que incluye unidades respaldadas por el gobierno, como el Ministerio de Seguridad del Estado (MSS) y el Ministerio de Seguridad P\u00fablica (MPS), actores civiles y entidades privadas a quienes Se subcontrata el trabajo de investigaci\u00f3n de vulnerabilidades y desarrollo de conjuntos de herramientas.<\/p>\n “Es probable que las APT del nexo con China sean una mezcla de actores privados y estatales que cooperan para llevar a cabo operaciones, en lugar de estar estrictamente asociadas con unidades individuales”, se\u00f1ala. dicho<\/a>se\u00f1alando los desaf\u00edos en la atribuci\u00f3n.<\/p>\n “Abarca desde la realizaci\u00f3n de operaciones, la venta de informaci\u00f3n robada o el acceso inicial a dispositivos comprometidos hasta la prestaci\u00f3n de servicios y herramientas para lanzar ataques. Las relaciones entre estos actores militares, institucionales y civiles son complementarias y fortalecidas por la proximidad de las partes individuales. de estos diferentes actores y la pol\u00edtica del PCC”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/Hackers-respaldados-por-China-aprovechan-los-protocolos-SIGTRAN-y-GSM.png\")
<\/a><\/center><\/div>\n\n
<\/a><\/center><\/div>\n