El Reino Unido, los EE. UU. Y los socios de todo el mundo han publicado un nuevo informe sobre el notorio grupo chino APT Salt Typhoon, alegando que ha recibido la ayuda de varias compañías de tecnología comercial para promover sus objetivos de aficionación cibernética. El informe llamado Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology y Sichuan Zhixin Ruijie Network Technology, que proporciona «productos y servicios cibernéticos» a los servicios de inteligencia de China. «Los datos robados a través de esta actividad contra las telecomunicaciones extranjeras y los proveedores de servicios de Internet (ISP), así como las intrusiones en los sectores de alojamiento y transporte, en última instancia pueden proporcionar a los servicios de inteligencia chinos la capacidad de identificar y rastrear las comunicaciones y movimientos de sus objetivos en todo el mundo», advirtió. Estos esfuerzos han estado en curso desde al menos 2021, con el enfoque para el acceso inicial en la explotación de vulnerabilidades conocidas en lugar de días cero. Lea más sobre Salt Typhoon: Salt Typhoon explotó los dispositivos Cisco con herramienta personalizada para espiar las telecomunicaciones de los EE. UU. El informe instó a los defensores de la red en organizaciones potencialmente impactadas a priorizar el parche de dispositivos de borde de red, específicamente las siguientes vulnerabilidades: CVE-2024-21887 (Ivanti Connect Secure y Ivanti Policy Secure) CVE-2024-3400 ((3400 (CVE-2024-21887 (Ivanti Connect Secure y Ivanti Policy Secure) CVE-2024-3400 (3400 ((CVE) (ALTO) (ALTO) (ALTO) CVOTECTA) CVE-2023-20273 y CVE-2023-20198 (Cisco iOS XE) CVE-2018-0171 (Cisco Smart Install RCE) al explotar lo anterior, los actores de amenaza pueden acceder a enrutadores y dispositivos de borde, y luego una potencialmente secuestro de conexiones confiables entre los proveedores y los clientes a los que se encuentran en otras redes. «Los actores APT aprovechan la infraestructura, como los servidores privados virtuales (VPS) y los enrutadores intermedios comprometidos, que no han sido atribuibles a una infraestructura de redes de red o de obfuscación conocida públicamente para apuntar «Los actores APT pueden atacar a los dispositivos de borde, independientemente de quién posee un dispositivo en particular. Los dispositivos propiedad de entidades que no se alinean con los objetivos centrales de interés de los actores todavía presentan oportunidades para su uso en las vías de ataque en objetivos de interés». Los informes sugieren que estas técnicas se utilizaron para comprometer a las organizaciones en decenas de países en todo el mundo. Los defensores de la red instaron a actuar ahora que el último informe llega a la parte posterior de las advertencias en noviembre pasado de que Salt Typhoon había violado al menos ocho empresas de telecomunicaciones estadounidenses en «una amplia y significativa campaña de espionaje cibernético». Los piratas informáticos obtuvieron datos de registros de llamadas de clientes y las comunicaciones privadas de un número limitado de personas involucradas en la actividad gubernamental o política, así como información sujeta a solicitudes de aplicación de la ley de los Estados Unidos. La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) incluso advirtió en ese momento que las personas de alto riesgo deberían alejarse del uso de SMS no cifrados y adoptar aplicaciones de mensajería cifradas de extremo a extremo y autenticación multifactor (MFA) resistente a phishing. El último aviso fue firmado por el Reino Unido, EE. UU., Australia, Canadá, Nueva Zelanda, República Checa, Finlandia, Alemania, Italia, Japón, Países Bajos, Polonia y España, lo que indica la escala de las operaciones de tifones de sal. «Estamos profundamente preocupados por el comportamiento irresponsable de las entidades comerciales nombradas con sede en China que ha permitido una campaña desenfrenada de actividades cibernéticas maliciosas a escala global», dijo el CEO de NCSC, Richard Horne. «Son las organizaciones cruciales en los sectores críticos específicos que prestan atención a esta advertencia internacional sobre la amenaza planteada por los actores cibernéticos que han estado explotando las vulnerabilidades públicas conocidas y, por lo tanto, solucionables,». Horne instó a los defensores de la red a buscar proactivamente actividades maliciosas y aplicar mitigaciones recomendadas basadas en indicadores de compromiso (COI), así como revisar regularmente los registros de dispositivos de red para obtener signos de actividad inusual.