Boletín de ciberataques: Defensa contra el ransomware Codefinger en AWS S3 >

Boletín de ciberataques: Defensa contra el ransomware Codefinger en AWS S3 >

Vectra AI Japón、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
Boletín de ataques híbridos

La tormenta silenciosa: El ciberataque masivo de las telecomunicaciones en Salt Typhoon

12 de diciembre de 2024
Lucie Cardiet
Responsable de marketing de productos
La tormenta silenciosa: El ciberataque masivo de las telecomunicaciones en Salt Typhoon

Este blog pone de relieve la ciberactividad maliciosa en curso llevada a cabo por el grupo de ciberamenazas afiliado a la República Popular China (RPC) conocido como Salt Typhoon contra proveedores de infraestructuras de telecomunicaciones. Informes recientes sugieren que los actores de la amenaza Salt Typhoon phoon han comprometido las redes de las principales organizaciones mundiales de telecomunicaciones, llevando a cabo amplias e importantes campañas de ciberespionaje.

En respuesta, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), junto con la Agencia de Seguridad Nacional (NSA), la Oficina Federal de Investigación (FBI) y socios internacionales, publicó las Orientaciones sobre visibilidad mejorada y refuerzo de la infraestructura de comunicaciones para ayudar a los ingenieros y defensores de redes a mejorar la visibilidad y las prácticas de refuerzo. El objetivo de estas directrices es reducir la exposición a los intentos de explotación y reforzar la seguridad general de los dispositivos de red.

La importancia de los ataques a las telecomunicaciones

Las redes de telecomunicaciones son el sustento de la sociedad moderna, ya que permiten las comunicaciones personales, apoyan las operaciones de seguridad nacional y sostienen las actividades económicas mundiales. Al atacar estas infraestructuras críticas, el grupo de amenazas afiliado a la RPC conocido como Salt Typhoon phoon explota el papel central que desempeñan las empresas de telecomunicaciones en las funciones gubernamentales, el comercio y la vida cotidiana. Mediante ataques directos a los proveedores de telecomunicaciones, Salt Typhoon phoon puede:

  • Interceptar comunicaciones sensibles: El acceso a las transmisiones de voz y datos proporciona información de valor incalculable sobre actividades gubernamentales, estrategias corporativas e información personal.
  • Interrupción de servicios esenciales: Comprometer la infraestructura de telecomunicaciones puede provocar cortes generalizados del servicio, afectando a la economía, la seguridad pública y la capacidad de respuesta ante emergencias.
  • Establecer plataformas de espionaje a largo plazo: El acceso persistente permite la vigilancia continua, la exfiltración de datos y la posibilidad de manipular las comunicaciones durante periodos prolongados.

Estas acciones tienen graves implicaciones, como el menoscabo de la seguridad nacional, la desestabilización de los marcos económicos y la erosión de la confianza pública en los sistemas de comunicación. Las operaciones de Salt Typhoonse alinean con objetivos comúnmente asociados al ciberespionaje patrocinado por el Estado:

  1. Obtención de inteligencia estratégica: Obtención de información clasificada, secretos comerciales y comunicaciones estratégicas para lograr ventajas políticas y económicas.
  2. Apalancamiento tecnológico: Robo de propiedad intelectual y datos sensibles para potenciar las capacidades tecnológicas nacionales sin incurrir en costes de investigación y desarrollo.
  3. Preparación para la guerra cibernética: Integrarse en infraestructuras críticas para prepararse para posibles conflictos futuros, en los que el control de las comunicaciones podría conferir importantes ventajas estratégicas.
  4. Influencia y manipulación: Vigilancia o incluso alteración de las comunicaciones para apoyar campañas de desinformación, esfuerzos de espionaje o intentos de debilitar la confianza pública en las instituciones.

Al centrarse en las telecomunicaciones, Salt Typhoon extiende su alcance más allá de un único sector, amplificando así su influencia y aumentando la gravedad de su impacto potencial. Este amplio enfoque eleva la amenaza que se cierne sobre los sistemas de comunicación críticos de todo el mundo.

Posibles próximos movimientos Salt Typhoon

Dadas sus tácticas agresivas y su alcance en expansión, Salt Typhoon puede:

  • Extender los ataques a otros sectores de infraestructuras críticas como la energía, las finanzas, la sanidad y el transporte.
  • Desarrollar malware más avanzado, rootkits y exploits zero-day para pasar desapercibidos y mantener el acceso a largo plazo.
  • Explotar las vulnerabilidades de la cadena de suministro dirigiéndose a terceros proveedores y contratistas para infiltrarse en redes adicionales y propagar malware.
  • Aprovechar los datos comprometidos para obtener beneficios estratégicos, chantajear o lanzar nuevos ataques selectivos.

Las organizaciones deben anticiparse a estos movimientos potenciales y reforzar su postura de ciberseguridad en consecuencia.

TTPs utilizados por Salt Typhoon

Principales recomendaciones del CISA

Las últimas directrices CISA hacen hincapié tanto en las medidas preventivas como en las detectivas. Las organizaciones deben implementar las acciones recomendadas relacionadas con la visibilidad, la supervisión, la gestión de la configuración, la segmentación, los protocolos seguros, los controles de acceso y las técnicas de endurecimiento específicas de cada proveedor.

1. Reforzar la visibilidad y la supervisión

Las operaciones de Salt Typhoonse basan en métodos de intrusión sigilosos y en ocultarse en el tráfico normal de la red. La mejora de la visibilidad y la supervisión permite a los defensores detectar a tiempo comportamientos anómalos, identificar movimientos laterales sospechosos y responder rápidamente antes de que los atacantes se afiancen.

Recomendaciones del CISA:

  • Examine minuciosamente los cambios en la configuración de los dispositivos de red y aplique alertas exhaustivas para detectar modificaciones no autorizadas.
  • Emplee soluciones sólidas de supervisión de flujos, garantice un registro centralizado con cifrado y almacene de forma segura los datos de registro.
  • Integre las funciones de captura de paquetes y el comportamiento normal de la red de referencia para detectar anomalías.

Alineación Vectra AI :

La Attack Signal Intelligence deVectra AI aplica técnicas de detección y correlación de comportamientos basadas en IA en toda la huella de ataque, incluidos hosts, cuentas y cargas de trabajo. Al utilizar un enfoque centrado en la entidad para la detección de amenazas, Vectra AI proporciona a los equipos de seguridad una visibilidad completa de la actividad de la red y el comportamiento de los usuarios.

Esto se ajusta a las prácticas recomendadas para reforzar la visibilidad y la supervisión, ya que permite a los operadores:

  • Correlacione y priorice los eventos: Aproveche los análisis integrados para unir indicadores aparentemente benignos procedentes de diversas fuentes -como enrutadores, cortafuegos y puntos finales- en un relato de amenazas coherente y priorizado.
  • Mejore las operaciones de seguridad: Se integra perfectamente con las herramientas SIEM para enriquecer los registros y las alertas con contexto, reduciendo el ruido y permitiendo un triaje y una investigación más eficientes.
  • Acelere los tiempos de respuesta: Detecte y rastree las acciones de los adversarios en tiempo real, garantizando que los equipos de seguridad puedan actuar rápidamente antes de que los atacantes se afiancen o causen daños significativos. Al proporcionar una visibilidad profunda y continua y una perspectiva basada en el contexto, Vectra AI ayuda a las organizaciones a alinearse con las directrices descritas por CISA y sus socios, garantizando que los sistemas de supervisión puedan detectar, investigar y responder eficazmente a las tácticas y técnicas empleadas por grupos de amenazas sofisticados como Salt Typhoon.

2. Sistemas y dispositivos de seguridad

Salt Typhoon aprovecha las vulnerabilidades no parcheadas, las configuraciones débiles y las redes de gestión inseguras. Al endurecer los sistemas y dispositivos, las organizaciones reducen la capacidad del atacante para explotar las debilidades conocidas y limitar el impacto de cualquier intrusión exitosa.

Recomendaciones del CISA:

  • Implantar redes de gestión fuera de banda separadas físicamente de la red de flujo de datos.
  • Aplique listas de control de acceso (ACL) de denegación por defecto y una segmentación estricta mediante VLAN, DMZ y estructuras defensivas en capas.
  • Utilice métodos criptográficos de confianza para las VPN y desactive los servicios innecesarios.
  • Aplique regularmente los parches de los proveedores, siga un sólido proceso de gestión de cambios y respete las políticas de contraseñas seguras.

Alineación Vectra AI :

A medida que las organizaciones aplican configuraciones reforzadas, Vectra AI proporciona visibilidad continua de los segmentos de red y detecta los intentos de movimiento lateral que pueden eludir las defensas tradicionales. Los análisis avanzados de la solución ayudan a identificar desviaciones en el comportamiento causadas por accesos maliciosos y escalada de privilegios, ayudando a los operadores a mantener una fuerte segmentación y aplicar estrictas políticas de acceso.

3. Protocolos y procesos de gestión

Salt Typhoon aprovecha protocolos inseguros, autenticación débil y credenciales administrativas mal gestionadas para pivotar dentro de las redes. Reforzar los protocolos y los procesos de gestión limita la capacidad de los adversarios para obtener privilegios elevados y moverse por infraestructuras críticas.

Recomendaciones del CISA:

  • Restrinja la gestión de dispositivos a estaciones de trabajo administrativas dedicadas y de confianza.
  • Desactivar o limitar la exposición del tráfico de gestión a Internet.
  • Utilizar un cifrado fuerte y algoritmos criptográficos modernos para los protocolos de gestión.
  • Utilizar marcos de control de acceso basado en roles (RBAC) y de autenticación, autorización y contabilidad (AAA).

Alineación Vectra AI :

La plataformaVectra AI detecta eventos de autenticación sospechosos y puede alertar a los operadores de anomalías en los protocolos de gestión o de actividad inesperada en las cuentas. Esto complementa los estrictos controles de acceso y garantiza que cualquier intento malicioso de gestionar dispositivos de red se señale para su oportuna investigación.

4. Orientación específica de Cisco

Se ha observado que Salt Typhoon explota funciones y valores predeterminados específicos de Cisco. La aplicación de las recomendaciones de endurecimiento de Cisco reduce las oportunidades del adversario para abusar de las capacidades específicas del proveedor y obtener acceso persistente a la red.

Recomendaciones del CISA:

  • Desactive las funciones específicas de Cisco (por ejemplo, Smart Install) si no son necesarias.
  • Imponga una configuración de gestión web segura o desactive los servicios web innecesarios.
  • Adopte mecanismos seguros de almacenamiento de contraseñas (por ejemplo, Tipo-8) y asegúrese de que las claves TACACS+ están cifradas.

Alineación Vectra AI :

A medida que los defensores de la red refuerzan los entornos Cisco, Vectra AI supervisa continuamente la introducción de patrones maliciosos indicativos de comportamientos de amenazas relacionados con la República Popular China observados previamente. Esta tecnología complementa las mejores prácticas específicas del proveedor, ayudando en la detección de actividad sospechosa que pueda surgir después de que se hayan aplicado los esfuerzos de endurecimiento.

5. Notificación de incidentes y seguridad desde el diseño

Los ataques de Salt Typhoonse benefician del retraso en las respuestas y de la falta de seguridad de los productos. La notificación inmediata ayuda a los organismos públicos a seguir la evolución de las amenazas y responder a ellas, mientras que los principios de diseño seguro reducen la complejidad y el riesgo de intrusión desde el principio.

  • Informar de actividades sospechosas a las autoridades competentes (por ejemplo, FBI, CISA, homólogos extranjeros).
  • Adopte principios de seguridad en el diseño y exija a vendedores y proveedores configuraciones seguras por defecto.

Al proporcionar una mayor visibilidad y sólidas capacidades de detección, Vectra AI respalda los procesos más amplios de respuesta a incidentes de las organizaciones. La detección temprana se alinea con los principios de seguridad por diseño al minimizar el tiempo de permanencia y mitigar el impacto de las actividades de los adversarios. Además, los conocimientos de la solución pueden apoyar la recopilación de pruebas y facilitar la notificación oportuna a las autoridades.

El ataque de Salt Typhoona la infraestructura de telecomunicaciones subraya la importancia de adoptar las medidas integrales descritas en la Guía para la mejora de la visibilidad y el refuerzo de la infraestructura de comunicaciones. Los ingenieros de redes y los defensores deben aplicar estas recomendaciones para mejorar su postura de seguridad y reducir las oportunidades de intrusión de los adversarios.

La integración de soluciones de seguridad alineadas con estas recomendaciones refuerza aún más las defensas. Las capacidades deVectra AI complementan las directrices de CISA mejorando la visibilidad, agilizando la correlación de eventos y detectando anomalías de comportamiento indicativas de actividad maliciosa. Mediante una combinación de rigurosas prácticas de refuerzo, la adhesión a los principios de seguridad por diseño y tecnologías avanzadas como Vectra AI, las organizaciones pueden proteger mejor su infraestructura crítica contra las amenazas en evolución que plantean los grupos afiliados a la RPC y otros grupos de amenazas maliciosas.

¿Quiere ver la plataforma Vectra AI en acción? Realice nuestra visita autoguiada o solicite una demostración personalizada hoy mismo.

Preguntas frecuentes