La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA), junto con la NSA, el FBI y una amplia coalición de socios internacionales, ha publicado un asesoramiento integral de ciberseguridad que detalla una campaña de espionaje generalizada de la República Popular de la República de People de China (PRC) que se dirigen a redes críticas en todo el mundo.
El Informe de 37 páginas, “Contrarrestando a los actores patrocinados por el estado chino que compromete a las redes de todo el mundo para alimentar el sistema de espionaje global”, describe las tácticas, las técnicas y los procedimientos (TTP) utilizados por estos grupos de amenaza persistente avanzada (APT) para infiltrarse y mantener el acceso a largo plazo a las telecomunicaciones, el transporte del gobierno, el transporte y el transporte militar.
Control de llave
1. La guía utiliza MITER ATT & CK/D3FEND para contrarrestar los APT chinos que explotan CVE.
2. Hacer cumplir el aislamiento de la gestión, deshabilitar las características de riesgo y requieren una autenticación fuerte.
3. Priorice el parche, habilite el registro detallado y coordine la caza de amenazas.
Según el aviso, estos actores cibernéticos rastreados por grupos de la industria bajo nombres como “Salt Typhoon” y “Ghostemperor” han estado operando desde al menos 2021.
La operación tiene como objetivo robar datos que permitan a los servicios de inteligencia chinos rastrear las comunicaciones y movimientos de sus objetivos en todo el mundo.
El aviso vincula explícitamente la actividad con varias compañías de tecnología china, incluidas Sichuan Juxinhe Network Technology Co. Ltd., que supuestamente brinda servicios a las armas militares e inteligentes de China.
Un hallazgo clave de la investigación es que los actores no dependen de las hazañas de día cero. En cambio, tienen un “éxito considerable” al explotar las vulnerabilidades y exposiciones comunes conocidas y a menudo sin parpadear (CVE).
El informe insta a los defensores de las redes a priorizar el parche de varias vulnerabilidades específicas, incluidas las que afectan a Cisco, Palo Alto Networks y los dispositivos Ivanti.
CVevendor/ProductDetailScVe-2024-21887ivanti Connect Secure e Ivanti PolicyCommand Vulnerabilidad de inyección, a menudo encadenada con CVE-2023-46805 para la autenticación bypass.CVE-2024-3400palo Alto reds Pan-AS-OS GlobalProtectallows para el código remoto no autorenticado (RCE) a través de ArbitreRy de la creación de código remoto (RCE). inyección en firewalls con configuraciones específicas de GlobalProtect. habilita la creación de cuentas administrativas no autorizadas. CVE-2018-0171 CICISCO IOS e iOS XEA La vulnerabilidad de ejecución del código remoto relacionado con la función de instalación inteligente.
La metodología de los actores de amenaza implica un enfoque de “vivir fuera de la tierra”. Después de obtener el acceso inicial explotando un enrutador o firewall vulnerable y orientado a Internet, utilizan las propias herramientas y capacidades nativas del dispositivo para excavar más profundamente en la red.
Las técnicas incluyen modificar listas de control de acceso, capturar el tráfico de red para robar credenciales y usar contenedores de Linux en caja como el shell invitado de Cisco para ocultar sus herramientas y actividades del monitoreo estándar.
“Estos actores a menudo modifican los enrutadores para mantener el acceso persistente a largo plazo a las redes”, afirma el asesoramiento. Crean túneles encubiertos, redirigen el tráfico a su propia infraestructura y registros meticulosamente claros para cubrir sus pistas, lo que hace que la detección sea extremadamente difícil.
El aviso conjunto representa un esfuerzo internacional masivo, con agencias contribuyentes de Australia, Canadá, el Reino Unido, Nueva Zelanda, Alemania, Japón, Italia y Polonia, entre otros. Proporciona orientación detallada de caza de amenazas, instando a las organizaciones a:
Monitorear los cambios de configuración no autorizados, los túneles de red inesperados (GRE, IPSEC) y el uso sospechoso de herramientas de captura de paquetes. Auditar contenedores virtualizados en dispositivos de red para actividades no autorizadas. Verifique la integridad del firmware y el software contra los hash proporcionados por el proveedor. Implemente registros de registro robusto y reenvío a un servidor centralizado y centralizado.
Las estrategias de mitigación se centran en el endurecimiento de la infraestructura de la red. Las recomendaciones incluyen deshabilitar puertos y servicios no utilizados, implementar un estricto aislamiento de plano de gestión, hacer cumplir credenciales fuertes y únicas y deshabilitar protocolos heredados como Telnet y SNMPV1/V2 a favor de alternativas seguras y modernas.
El Aviso sirve Como un recurso crítico para los defensores de la red, proporcionando no solo la orientación estratégica sino también los indicadores específicos de compromiso, como las direcciones IP utilizadas por los actores y las reglas de Yara para detectar su malware personalizado.
CISA y sus socios instan firmemente a las organizaciones, especialmente en el sector de las telecomunicaciones, a usar la guía para cazar proactivamente actividades maliciosas y fortalecer sus defensas contra esta persistente amenaza global.
¿Cansado de llenar formularios para cuestionarios de seguridad y cumplimiento? ¡Automúalos en minutos con 1UP! Comience su prueba gratuita ahora!
