La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA), junto con la Agencia de Seguridad Nacional (NSA), el FBI y agencias cibernéticas de Australia, Canadá y Nueva Zelanda han publicado una guía de seguridad conjunta para proveedores de servicios de comunicaciones (CSP) en el a raíz de una serie de incursiones respaldadas por China en las principales empresas de telecomunicaciones estadounidenses.
Inicialmente reportados en octubre y confirmados el mes pasado, los incidentes vieron a nombres conocidos, incluidos AT&T y Verizon, atacados por un grupo de amenaza persistente avanzada (APT) rastreado como Salt Typhoon.
En la audaz campaña, los agentes de Salt Typhoon irrumpieron en los sistemas de sus objetivos y luego robaron datos de registros de llamadas de clientes. El grupo pudo comprometer las comunicaciones privadas de varias personas no identificadas “principalmente involucradas en actividades gubernamentales o políticas”, y también copió algunos datos que estaban sujetos a solicitudes de las autoridades estadounidenses de conformidad con órdenes judiciales.
Según el Diario de Wall Streetque fue el primero en revelar la historia, es posible que Salt Typhoon haya estado recopilando activamente datos de sus víctimas durante un período de varios meses.
La nueva guía establece una serie de acciones que los defensores que trabajan en el sector de las comunicaciones deberían tomar para identificar comportamientos extraños, erradicar vulnerabilidades y amenazas y responder a incidentes cibernéticos. También proporciona orientación sobre cómo reducir su exposición a vulnerabilidades, mejorar los hábitos de configuración segura y reducir la cantidad de posibles puntos de entrada.
“La actividad cibernética afiliada a la República Popular China representa una grave amenaza para la infraestructura crítica, las agencias gubernamentales y las empresas. Esta guía ayudará a las organizaciones de telecomunicaciones y otras organizaciones a detectar y prevenir compromisos por parte de la República Popular China y otros actores cibernéticos”, dijo el subdirector ejecutivo de seguridad cibernética de CISA, Jeff Greene.
“Junto con nuestros socios estadounidenses e internacionales, instamos a los fabricantes de software a incorporar principios de seguridad por diseño en su ciclo de vida de desarrollo para fortalecer la postura de seguridad de sus clientes. Los fabricantes de software deberían revisar nuestros recursos Secure by Design y poner sus principios en práctica”.
Bryan Vorndran, subdirector de la División Cibernética del FBI, añadió: “Los actores de amenazas afiliados a la República Popular China (RPC)… han atacado a proveedores comerciales de telecomunicaciones para comprometer datos confidenciales y participar en ciberespionaje.
“Recomendamos encarecidamente a las organizaciones que revisen e implementen las medidas recomendadas en esta guía y que informen sobre actividades sospechosas a su oficina local del FBI”.
“Estos ataques son un recordatorio de que… la infraestructura de comunicaciones nacionales es fundamental para nuestra seguridad nacional”, dijo Tim Perry, jefe de estrategia de Prepared, un proveedor con sede en Estados Unidos de tecnología de asistencia para operadores de llamadas de emergencia y socorristas.
“Los actores estatales tienen los recursos y la motivación para explotar las vulnerabilidades de nuestra red, infiltrarse silenciosamente en nuestras redes de comunicaciones y recopilar nuestros datos más confidenciales. Es por eso que las agencias de aplicación de la ley locales, estatales y federales, ya sea que estén realizando escuchas telefónicas, apoyando comunicaciones operativas sensibles de las fuerzas del orden o simplemente administrando su sistema local 911, deben mantenerse actualizados sobre las últimas amenazas cibernéticas”.
Consejos para ingenieros de redes.
La guía completa, a la que se puede acceder a través del sitio web de CISA, también es muy pertinente para cualquier organización que ejecute equipos empresariales locales, en particular los operadores de infraestructura nacional crítica (CNI), que deberían implementarla como algo natural.
Además de aquellos encargados de defender las redes de comunicaciones, establece pasos que los ingenieros de redes que no necesariamente están familiarizados con las mejores prácticas de seguridad cibernética podrían y deberían tomar.
Estos incluyen examinar e investigar cualquier modificación o alteración de configuración extraña en dispositivos como conmutadores, enrutadores o firewalls, inventariar estos dispositivos, implementar monitoreo del flujo de red, limitar la exposición del tráfico de administración a la Internet pública, monitorear los inicios de sesión de usuarios y cuentas de servicio para detectar anomalías, y implementar un registro seguro y centralizado.
Es posible que los ingenieros también deseen configurar una red de administración fuera de banda separada físicamente de la red de flujo de datos operativa, implementando listas de control de acceso (ACL), implementando una segmentación de red más sólida con ACL de enrutador, inspección de paquetes con estado y similares, fortaleciendo y asegurando puertas de enlace de red privada virtual (VPN), implementar cifrado de extremo a extremo y mucho más.
También incluye orientación específica para una serie de características específicas de Cisco que se sabe que Salt Typhoon explotó, incluida la aplicación de las mejores prácticas de refuerzo a todos los sistemas operativos de Cisco, como IOS XE y NX-OS.