CISA publicó hoy una guía para ayudar a los defensores de la red a reforzar sus sistemas contra ataques coordinados por parte del grupo de amenazas chino Salt Typhoon que afectó a varios de los principales proveedores de telecomunicaciones mundiales a principios de este año.
La agencia de ciberseguridad de EE. UU. y el FBI confirmaron las violaciones a finales de octubre después de informar que Salt Typhoon había violado varios proveedores de banda ancha, incluidos AT&T, T-Mobile, Verizon y Lumen Technologies.
Luego revelaron que los atacantes comprometieron las “comunicaciones privadas” de un “número limitado” de funcionarios gubernamentales, obtuvieron acceso a la plataforma de escuchas telefónicas del gobierno de EE. UU. y robaron grabaciones de llamadas de clientes y datos de solicitudes de las fuerzas del orden.
Aunque todavía no está claro cuándo fueron pirateadas por primera vez las redes de los gigantes de las telecomunicaciones, los piratas informáticos chinos tuvieron acceso a ellas “durante meses o más”, según un informe del WSJlo que les permitió robar grandes cantidades de “tráfico de Internet de proveedores de servicios de Internet cuyos clientes incluyen empresas grandes y pequeñas, así como millones de estadounidenses”.
“No podemos decir con certeza que el adversario ha sido expulsado, porque todavía no sabemos el alcance de lo que están haciendo. Todavía estamos tratando de entenderlo, junto con estos socios”, afirmó. Un alto funcionario de CISA dijo a los periodistas hoy durante una conferencia de prensa.
Sin embargo, el jefe de seguridad de T-Mobile, quien dijo el miércoles que el ataque provino de la red de un proveedor de servicios conectados por cable, dice que la compañía ya no ve atacantes activos dentro de su red.
También rastreado bajo los nombres Earth Estries, FamousSparrow, Ghost Emperor y UNC2286, este grupo de amenazas ha estado pirateando entidades gubernamentales y empresas de telecomunicaciones en todo el sudeste asiático desde al menos 2019.
“La vigilancia es la clave”
como el NSA Como dijo hoy, los atacantes chinos se dirigieron a servicios expuestos y vulnerables, dispositivos sin parches y, en general, entornos poco seguros.
EL asesoramiento conjuntopublicado en asociación con el FBI, la NSA y socios internacionales, incluye orientación sobre cómo reforzar los dispositivos y la seguridad de la red para reducir la superficie de ataque explotada por estos actores maliciosos.
También incluye medidas defensivas para mejorar la visibilidad para los administradores de sistemas e ingenieros que administran la infraestructura de comunicaciones para obtener información más detallada sobre el tráfico de la red, el flujo de datos y las actividades de los usuarios.
Otras mejores prácticas de refuerzo destacadas en el aviso de hoy incluyen:
- Parchee y actualice dispositivos rápidamente,
- Deshabilite todos los protocolos no utilizados, no autenticados o no cifrados.
- Limitar las conexiones de administración y las cuentas privilegiadas,
- Utilice y almacene contraseñas de forma segura,
- Utilizando únicamente criptografía sólida.
También se recomienda a los defensores de la red que configuren sus sistemas para registrar todos los cambios de configuración y conexiones de administración, así como alertar sobre eventos inesperados para mejorar la visibilidad de los dispositivos perimetrales en los perímetros de la red.
También es importante monitorear el tráfico de socios confiables, como proveedores de telefonía fija, porque T-Mobile fue pirateado a través de un proveedor de telefonía fija conectado y no a través de dispositivos expuestos en Internet.
“La vigilancia es esencial para defenderse contra el compromiso de la red. Esté siempre atento a sus sistemas y parchee y remedie las vulnerabilidades conocidas antes de que se conviertan en objetivos”, dijo Dave Luber, director de ciberseguridad de la NSA.