Los actores patrocinados por el estado chino han estado comprometiendo con éxito las redes de los principales proveedores de telecomunicaciones de EE. UU. durante años, utilizando el punto de apoyo ganado para atacar a otros objetivos en los sectores público y privado.
Esta severa advertencia fue emitida conjuntamente por la Agencia de Seguridad Marketingdecontenido (NSA), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI).
Según la advertencia, varios grupos de piratería chinos estaban apuntando a vulnerabilidades conocidas en dispositivos sin parches, como enrutadores. Puntos finales comprometidos (se abre en una pestaña nueva) luego se convertiría en parte de una infraestructura maliciosa más grande, aprovechada para montar ataques aún más peligrosos.
“Al obtener un punto de apoyo inicial en una organización de telecomunicaciones o proveedor de servicios de red, los ciberactores patrocinados por el estado de la República Popular China han identificado usuarios e infraestructura críticos, incluidos los sistemas críticos para mantener la seguridad de la autenticación, la autorización y la contabilidad”, se dijo en la advertencia.
El actor de la amenaza luego robaría los datos de inicio de sesión para acceder a las bases de datos SQL, filtrando las credenciales de administrador de los servidores críticos del Servicio de usuario de acceso telefónico de autenticación remota (RADIUS).
Armados con cuentas y credenciales válidas del servidor RADIUS comprometido y las configuraciones del enrutador, los ciberactores regresaron a la red y usaron su acceso y conocimiento para autenticar y ejecutar con éxito los comandos del enrutador para enrutar, capturar y filtrar el tráfico fuera de la red de manera subrepticia. a la infraestructura controlada por los actores”, afirma además el anuncio.
Hay una lista bastante grande de CVE que los actores de amenazas estaban usando para atacar a las empresas de telecomunicaciones, que se puede encontrar en este enlace (se abre en una pestaña nueva). Aparentemente, los chinos han estado en esto desde al menos 2023.
Las tres agencias gubernamentales han instado a todas las partes afectadas (empresas de los sectores público y privado, en los EE. UU. y en países aliados) a mantenerse alerta: apliquen parches tan pronto como estén disponibles, reemplacen equipos obsoletos, desactiven equipos innecesarios. puertos y mantenga una sólida pila de soluciones antivirus y de firewall.
También se recomienda segmentar las redes para evitar que los actores de amenazas se muevan lateralmente.
Vía: BleepingComputer (se abre en una pestaña nueva)