El informe 'DeadRinger' revela ataques generalizados contra las 'telecos'

Hace dos años, el equipo de Cybereason Nocturnus descubrió una campaña maliciosa a escala mundial contra los proveedores de telecomunicaciones denominada "Operación Soft Cell". Recientemente, los investigadores de Cybereason han descubierto una nueva serie de ataques generalizados dirigidos a algunos de los mayores proveedores de telecomunicaciones del sudeste asiático, una campaña de espionaje que lleva años activa. La campaña, denominada DeadRinger, se detalla en un nuevo informe de Cybereason.

El equipo de investigadores de amenazas de Cybereason ha descubierto múltiples actores de amenazas procedentes de China que se infiltraban en empresas de telecomunicaciones del sudeste asiático. Al igual que en ataques recientes como los de SolarWinds y Kaseya, los cibercriminales de DeadRinger han atacado a un proveedor externo para llevar a cabo la vigilancia de objetivos específicos de alto valor.

La actividad reciente de los atacantes explota vulnerabilidades en Microsoft Exchange que se han revelado de forma pública recientemente, como las vulnerabilidades en el centro de los ataques Hafnium a principios de este año. Sin embargo, estas acciones infames se remontan a mucho antes, con pruebas que muestran actividad al menos desde 2017.

Las tácticas que se han podido observar revelan que los actores de la amenaza buscan principalmente registros de llamadas para realizar ciberespionaje contra objetivos designados de alto perfil. En cualquier caso, los atacantes tienen acceso y control de estas redes de telecomunicaciones, lo que podría permitir a China llevar a cabo otras acciones, como cortar el servicio de telecomunicaciones a personas o empresas concretas.

Revelaciones clave DeadRinger

Los investigadores del equipo Nocturnus de Cybereason han identificado tres actores de amenazas distintos. Los tres tienen diversos grados de conexión con los conocidos grupos chinos de APT Soft Cell, Naikon y Group-3390, todas ellas entidades conocidas por operar en interés del gobierno chino.

Aunque los objetivos y las tácticas son similares en algunos casos, y existe un solapamiento entre ellos en términos de alcance e impacto, no da la sensación de que estén trabajando juntos o coordinando sus esfuerzos. Cybereason cree, sin embargo, que a los diferentes equipos se les asignaron probablemente propósitos paralelos para vigilar las comunicaciones de objetivos de alto valor bajo la dirección de un organismo central de coordinación alineado con los intereses chinos.

Atacar a los proveedores de telecomunicaciones permite a los cibercriminales acceder a las comunicaciones y vigilarlas sin necesidad de hackear o asaltar directamente a los objetivos individuales.

Los investigadores han descubierto que los ataques son muy adaptables, persistentes y evasivos. Los atacantes han trabajado concienzudamente para ocultar su actividad y mantener la persistencia en los sistemas afectados, incluso respondiendo en tiempo real a los intentos de mitigación y trabajando para evadir las acciones de seguridad. El nivel de esfuerzo sugiere que los objetivos son de gran valor para los atacantes, y para la entidad que dirige la actividad de los atacantes.

La actividad descubierta de los ataques de DeadRinger ha afectado principalmente a las empresas de telecomunicaciones de los países del sudeste asiático, pero los ataques podrían ser fácilmente replicados o ampliados para ser utilizados contra los proveedores de telecomunicaciones de otras regiones. Las pruebas indican que estos ataques estaban destinados específicamente al espionaje y la vigilancia, pero la cuestión es que los atacantes pueden pasar fácilmente del espionaje a la interferencia. Tienen la capacidad de interrumpir o cortar las comunicaciones de los clientes de telecomunicaciones afectados.

Defenderse contra el ciberespionaje

Es un hecho destacable que el informe de DeadRinger llegue justo después de que la Administración Biden se coordinara con sus aliados mundiales para condenar al gobierno chino por su papel en los ataques HAFNIUM dirigidos a las vulnerabilidades de Microsoft Exchange Server. La actividad descubierta por el equipo de investigación Nocturnus de Cybereason ofrece una visión de cómo los sofisticados grupos de amenazas persistentes avanzadas y los actores de ataques se están infiltrando en las infraestructuras críticas como un primer peldaño para acceder a la propiedad intelectual de una organización.

El informe subraya la necesidad de unas normas de actuación más claras en lo que respecta a los ciberataques y el ciberespionaje. Los sectores público y privado tienen que cooperar y trabajar juntos, pero todavía se está resolviendo cómo hacerlo de la manera más eficaz. La forma de defender nuestras empresas depende en gran medida de que entendamos el impacto de los ataques y sepamos cómo proteger el ecosistema cibernético en general. El informe DeadRinger es muy importante en este sentido, ya que proporciona información y conocimientos valiosos que pueden ser de gran utilidad para las organizaciones.