Underc0de - La Casa de los Informáticos

El grupo de amenazas persistentes avanzadas (APT) vinculado a China, conocido como Salt Typhoon, ha intensificado sus operaciones de ciberespionaje dirigidas contra redes y sectores estratégicos a nivel global, incluyendo telecomunicaciones, gobiernos, transporte, hospitalidad e infraestructura militar.

De acuerdo con un aviso conjunto de ciberseguridad publicado por 13 países, este actor de amenazas explota vulnerabilidades en dispositivos de red de fabricantes como Cisco, Ivanti y Palo Alto Networks para obtener acceso inicial, modificar configuraciones y mantener presencia persistente a largo plazo en los sistemas comprometidos.

Objetivos del grupo Salt Typhoon

Las autoridades explican que Salt Typhoon se enfoca principalmente en:

• Grandes enrutadores troncales de proveedores de telecomunicaciones.
• Enrutadores de borde de proveedor (PE) y enrutadores de borde de cliente (CE).
• Dispositivos comprometidos y conexiones confiables que sirven de punto de pivote hacia otras redes.

La modificación de los enrutadores les permite a los atacantes mantener un acceso estable, exfiltrar datos de forma encubierta y expandirse lateralmente hacia infraestructuras críticas.

Vínculos con entidades chinas

El informe atribuye esta actividad maliciosa a tres empresas chinas:

• Sichuan Juxinhe Network Technology Co., Ltd.
• Beijing Huanyu Tianqiong Information Technology Co., Ltd.
• Sichuan Zhixin Ruijie Network Technology Co., Ltd.

De acuerdo con las agencias, estas compañías brindan soporte tecnológico y servicios relacionados a los servicios de inteligencia de China, lo que refuerza la hipótesis de que Salt Typhoon opera con apoyo estatal. El acceso a redes de telecomunicaciones e ISP permitiría a Beijing monitorear comunicaciones y movimientos de objetivos estratégicos en todo el mundo.

Colaboración internacional en ciberseguridad

El boletín fue firmado por Australia, Canadá, República Checa, Finlandia, Alemania, Italia, Japón, Países Bajos, Nueva Zelanda, Polonia, España, Reino Unido y Estados Unidos.

Brett Leatherman, jefe de la División Cibernética del FBI, explicó que Salt Typhoon opera al menos desde 2019, con una campaña sostenida de espionaje que viola normas globales de privacidad y seguridad en telecomunicaciones.

En una alerta independiente, los servicios de inteligencia de Países Bajos (MIVD y AIVD) confirmaron que los atacantes obtuvieron acceso a enrutadores de ISP y proveedores de hosting locales, aunque no encontraron evidencia de intrusiones más profundas.

Alcance global de la campaña

De acuerdo con medios como The Wall Street Journal y The Washington Post, Salt Typhoon ha expandido sus objetivos a más de 600 organizaciones en 80 países, incluidas 200 en Estados Unidos y múltiples sectores críticos en el Reino Unido.

El grupo se superpone con otras designaciones como GhostEmperor, Operator Panda, RedMike y UNC5807, lo que indica un entramado complejo de operaciones APT atribuidas al ecosistema de ciberespionaje chino.

Vulnerabilidades explotadas

Salt Typhoon aprovecha vulnerabilidades conocidas y críticas en dispositivos de borde de red:

• Cisco: CVE-2018-0171, CVE-2023-20198 y CVE-2023-20273.
• Ivanti: CVE-2023-46805 y CVE-2024-21887.
• Palo Alto Networks: CVE-2024-3400.

Una vez dentro, los atacantes modifican configuraciones, crean túneles GRE para mantener acceso persistente, y alteran listas de control de acceso (ACL) para agregar direcciones IP bajo su control.

Además, aprovechan protocolos de autenticación TACACS+ para moverse lateralmente y capturar credenciales privilegiadas de administradores de red.

Técnicas avanzadas de persistencia

Entre las tácticas observadas por las agencias de ciberseguridad se incluyen:

• Captura de tráfico de red (PCAP) con herramientas nativas para obtener credenciales.
• Activación del servicio sshd_operns en Cisco IOS XR para crear usuarios locales con privilegios root.
• Ejecución de comandos en contenedores Linux integrados en dispositivos Cisco, usados para organizar herramientas, procesar datos localmente y moverse lateralmente en la red.

Estas técnicas muestran un conocimiento profundo del funcionamiento de sistemas de telecomunicaciones y una capacidad avanzada para evadir defensas convencionales.

El papel de contratistas en el ciberespionaje chino

De acuerdo con Mandiant (propiedad de Google), Salt Typhoon cuenta con una ventaja significativa debido a la experiencia técnica en telecomunicaciones.

John Hultquist, jefe de análisis de Google Threat Intelligence Group, comentó a The Hacker News:

Citar"Un ecosistema de contratistas, académicos y facilitadores está en el corazón del ciberespionaje chino. Estos actores construyen herramientas, desarrollan exploits y ejecutan intrusiones, acelerando la evolución de las operaciones a una escala sin precedentes".

La colaboración de contratistas privados permite al grupo diversificar sus tácticas y expandirse hacia sectores como hospitalidad y transporte, lo que sugiere un interés en vigilar movimientos individuales y patrones de comportamiento de personas específicas.

En fin, el caso de Salt Typhoon confirma que los grupos APT chinos están priorizando el espionaje estratégico global contra sectores críticos como telecomunicaciones, gobiernos e infraestructura militar. La explotación de vulnerabilidades conocidas en dispositivos de red demuestra la urgencia de reforzar medidas de ciberseguridad, especialmente en organizaciones que operan infraestructura esencial.

La colaboración internacional para exponer y mitigar estas operaciones subraya que la seguridad de la cadena de suministro digital se ha convertido en un desafío global que trasciende fronteras.

Fuente: https://thehackernews.com/