Actores de amenazas chinos golpean a las grandes empresas de telecomunicaciones
Los investigadores de seguridad publicaron información sobre tres campañas cibernéticas diferentes, pero probablemente vinculadas, centradas en el espionaje. Todos los ataques se han centrado en infiltrarse en las redes de las grandes empresas de telecomunicaciones.
Los investigadores de la firma de seguridad Cybereason publicaron un extenso informe sobre los ataques, llamando colectivamente a los actores de amenazas detrás de ellos DeadRinger. Los investigadores creen que DeadRinger comprende un anillo de APT ubicadas en China y que ejecutan ataques "en nombre de los intereses del estado chino".
La creencia de que los actores de amenazas están vinculados a operaciones patrocinadas por el estado chino se deriva del hecho de que existen tácticas y métodos compartidos observados con otros actores de amenazas chinos.
El informe describe tres grupos de actividad. Los actores de amenazas asociados con estos grupos son Soft Cell, Naikon y Emissary Panda. En conjunto, los tres grupos de actividad se extienden desde 2018 hasta la primera mitad de 2021.
Algunas de las técnicas que se han descrito en el informe incluyen el abuso de vulnerabilidades de día cero en MS Exchange Server, el uso del shell web de China Chopper y el uso de balizas creadas con el software legítimo de prueba de vulnerabilidades Cobalt Strike.
El objetivo final de todos los ataques fue el ciberespionaje y la recolección de información privilegiada y secretos corporativos. Curiosamente, hubo casos registrados en los que las tres APT se encontraron en la misma red comprometida, al mismo tiempo.
Esto todavía no es una evidencia sólida de que los tres actores de amenazas DeadRinger estuvieran trabajando todos en un impulso coordinado y para la misma entidad central que los orquestaba.
Los investigadores esperan que un análisis más detallado de la actividad maliciosa en las redes y entornos de telecomunicaciones comprometidos ayude a arrojar más luz sobre las circunstancias exactas de los ataques.