Ciberdelincuentes chinos aprovecharon vulnerabilidad de Microsoft Exchange, para robar registros de llamadas

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Piratas informáticos vinculados a China aprovecharon las vulnerabilidades de Microsoft Exchange durante varios meses a partir de finales de 2020 para robar registros de llamadas de una empresa de telecomunicaciones del sudeste asiático, informan investigadores de Cybereason.

La Casa Blanca culpó formalmente, en julio, al grupo HALFNIUM, afiliado al gobierno chino, de una campaña de hackeo masivo que explotó las vulnerabilidades de los servidores de Microsoft Exchange, un tipo de tecnología de correo. Cybereason descubrió que los grupos que tenían como objetivo la telecomunicación del sudeste asiático no identificada tenían acceso a la misma vulnerabilidad durante meses antes de la revelación de Microsoft.

Los nuevos hallazgos se basan en un informe de 2019, realizado por Cybereason, en el que los investigadores identificaron una campaña de hacking de larga duración que vulneró a unos 10 proveedores de telefonía móvil en África, Europa, Oriente Medio y Asia. Ahora los investigadores pueden decir que no solo ese grupo no ha cedido, sino que ahora también se les unen otros dos grupos vinculados a la inteligencia china que realizan el mismo tipo de operaciones.

Los tres grupos de actividad detallados en el informe habían evadido la detección desde al menos 2017, según la investigación. Dado el enfoque en el mismo objetivo y la superposición de tácticas, parece probable que los tres grupos estuvieran trabajando en el interés del gobierno chino, dice Assaf Dahan, jefe de investigación de amenazas en Cybereason.

Dahan afirma que es probable que los atacantes accedieran a cientos de gigabytes, si no terabytes, de datos del proveedor de telefonía móvil. Eso podría suponer cientos de miles de registros de llamadas. Sin embargo, lo más probable es que los hackers buscaran un puñado de objetivos selectos de interés para el gobierno chino, como los disidentes políticos.

Si bien los gobiernos extranjeros pueden llevar a cabo actividades de espionaje contra individuos, como el uso de programas espía directamente en el teléfono de un objetivo, ir directamente a por los proveedores de telecomunicaciones puede hacer que la actividad sea más difícil de detectar, dice Dahan.

Aunque los cibercriminales se han dirigido principalmente a proveedores de telecomunicaciones asiáticos, los ataques podrían recrearse contra proveedores de otras regiones, señala Dahan.

Con información de: CyberScoop.