La Dirección de Señales de Australia y el Centro de Seguridad Cibernética de Australia se han unido a instituciones de seguridad cibernética de EE. UU., Canadá y Nueva Zelanda para advertir a los profesionales de tecnología locales que Tenga cuidado con los actores de amenazas afiliados a Chinaincluido Salt Typhoon, infiltrándose en su infraestructura de comunicaciones crítica.
La noticia llega semanas después de que la Dirección de Señales de Australia Informe anual sobre ciberamenazas 2023-2024donde la agencia advirtió que los ciberactores patrocinados por el estado habían estado apuntando persistentemente a los gobiernos australianos, infraestructura crítica, y empresas que utilizan técnicas comerciales en evolución durante el período de informe más reciente.
¿Qué es el tifón de sal?
Recientemente, Estados Unidos reveló que un actor de amenazas conectado con ChinaSalt Typhoon, comprometió las redes de al menos ocho proveedores de telecomunicaciones con sede en Estados Unidos como parte de “una amplia y significativa campaña de ciberespionaje”. Pero la campaña no se limita a las costas estadounidenses.
Las agencias australianas no confirmaron si Salt Typhoon ha llegado a las empresas de telecomunicaciones australianas. Sin embargo, Grant Walsh, líder de la industria de telecomunicaciones en la firma local de seguridad cibernética CyberCX, escribió que era “poco probable que la ACSC –y las agencias asociadas– emitieran una guía tan detallada si la amenaza no fuera real”.
“Las redes de telecomunicaciones han invertido en algunas de las defensas cibernéticas más maduras de Australia. Pero el panorama de amenazas globales se está deteriorando”, escribió. “Las redes de telecomunicaciones son un objetivo clave para los grupos de ciberespionaje estatales persistentes y altamente capaces, particularmente aquellos asociados con China”.
Salt Typhoon: parte de un problema de amenaza más amplio patrocinado por el estado
Durante el año pasado, la ASD emitió varios avisos conjuntos con socios internacionales para resaltar la evolución de las operaciones de los actores cibernéticos patrocinados por el Estado, particularmente de los actores patrocinados por China.
En febrero de 2024, la ASD se unió a los EE. UU. y otros socios internacionales en publicando un aviso. Se evaluó que los actores cibernéticos patrocinados por China buscaban posicionarse en las redes de tecnología de la información y las comunicaciones para realizar ciberataques disruptivos contra infraestructuras críticas de Estados Unidos en caso de una crisis importante.
La ASD señaló que las redes de infraestructura crítica australianas podrían ser vulnerables a una actividad cibernética maliciosa patrocinada por el estado similar a la que se observa en los EE. UU.
“Estos actores llevan a cabo operaciones cibernéticas en pos de objetivos estatales, incluido el espionaje, ejerciendo influencia maligna, interferencia y coerción, y buscando posicionarse previamente en las redes para ataques cibernéticos disruptivos”, escribió la ASD en el informe.
VER: Australia aprueba una innovadora ley de seguridad cibernética
En el informe cibernético anual de la ASD, la agencia dijo que la elección de objetivos y el patrón de comportamiento de China son consistentes con el posicionamiento previo para efectos disruptivos en lugar de las tradicionales operaciones de ciberespionaje. Sin embargo, dijo que los ciberactores patrocinados por el Estado también tienen objetivos de recopilación de información y espionaje en Australia.
“Los actores estatales tienen un interés duradero en obtener información sensible, propiedad intelectual e información de identificación personal para obtener ventajas estratégicas y tácticas”, dice el informe. “Las organizaciones australianas suelen tener grandes cantidades de datos, por lo que probablemente sean un objetivo para este tipo de actividad”.
Técnicas comunes utilizadas por atacantes patrocinados por el estado
Según Walsh, los actores patrocinados por China como Salt Typhoon son “actores avanzados de amenazas persistentes”. A diferencia de los grupos de ransomware, no buscan ganancias financieras inmediatas sino que “quieren acceso a los componentes centrales sensibles de la infraestructura crítica, como las telecomunicaciones, para fines de espionaje o incluso destructivos”.
“Sus ataques no tienen como objetivo bloquear sistemas y extraer ganancias rápidamente”, según Walsh. “En cambio, se trata de campañas encubiertas de ciberespionaje patrocinadas por el Estado que utilizan técnicas difíciles de detectar para entrar en infraestructuras críticas y permanecer allí, potencialmente durante años. Están esperando robar datos confidenciales o incluso alterar o destruir activos en caso de un futuro conflicto con Australia”.
La ASD ha advertido a los defensores sobre las técnicas comunes que aprovechan estos actores de amenazas patrocinados por el Estado.
Compromisos en la cadena de suministro
El El compromiso de las cadenas de suministro puede actuar como puerta de entrada a las redes objetivo.según la ASD. La agencia señaló: “La gestión de riesgos de la cadena de suministro cibernético debería formar un componente importante de la estrategia general de seguridad cibernética de una organización”.
Técnicas de vivir de la tierra
Una de las razones por las que los actores patrocinados por el estado son tan difíciles de detectar, según la ASD, es porque utilizan “herramientas de administración de red integradas para llevar a cabo sus objetivos y evadir la detección al mezclarse con las actividades normales del sistema y la red”. Estas técnicas llamadas de “vivir de la tierra” implican esperar para robar información de la red de una organización.
Técnicas de nube
Los actores de amenazas patrocinados por el estado adaptan sus técnicas para explotar los sistemas en la nube con fines de espionaje a medida que las organizaciones migran a una infraestructura basada en la nube. La ASD dijo que las técnicas para acceder a los servicios en la nube de una organización incluyen “ataques de fuerza bruta y pulverización de contraseñas para acceder a cuentas de servicios altamente privilegiadas”.
VER: Cómo la IA está cambiando la ecuación de seguridad en la nube
Cómo defenderse de las ciberamenazas
Existen algunas similitudes en las técnicas de los actores de amenazas y las debilidades de los sistemas que explotan. La ASD dijo que los ciberactores patrocinados por el estado a menudo utilizan datos previamente robados, como información de red y credenciales de incidentes de seguridad cibernética anteriores, para promover sus operaciones y volver a explotar los dispositivos de red.
Por suerte, las empresas pueden protegerse de los ciberataques. A principios de este año, Asesoramiento experto consolidado de TechRepublic sobre cómo las empresas pueden defenderse contra las ciberamenazas más comunes, incluidos los días cero, el ransomware y los deepfakes. Estas sugerencias incluyeron mantener el software actualizado, implementar soluciones de seguridad para terminales y desarrollar un plan de respuesta a incidentes.
