Hackean a decenas de operadores en todo el mundo y roban cientos de gigas de datos

|

Ciberataque



Un grupo de hackers ha conseguido acceder a los sistemas de más de una decena de operadores de telecomunicaciones de distintos países por todo el mundo, y en el proceso han obtenido grandes cantidades de datos personales y corporativos. Las primeras investigaciones apuntan a que han sido espías chinos.

Así lo revela la investigación llevada a cabo por la empresa Cybereason, con miembros de Estados Unidos e Israel, que afirman que los atacantes han accedido a los datos de operadores de más de 30 países y buscaban conseguir datos de personas que pertenecen a gobiernos, política y cuerpos y fuerzas del estado.

Para llevar a cabo el ataque, utilizaron herramientas de otros ataques que se han producido en los últimos tres años a Estados Unidos y a países occidentales aliados. El nivel de sofisticación de los ataques demuestra que tiene que haber un gobierno detrás, ya que una organización criminal independiente no tiene la capacidad necesaria para llevar a cabo este ataque.

Desde China han negado cualquier participación en actividades de hackeo, aunque varias de las herramientas utilizadas han sido usadas previamente por el grupo de hackeo chino APT10, del cual Estados Unidos detuvo a dos miembros. En concreto, han encontrado cinco herramientas que en el pasado han estado asociadas a este grupo.

La empresa de ciberseguridad no ha detallado el nombre de los operadores hackeados ni los países donde operan, pero apuntan a que los principales objetivos se encontraban en Europa Occidental. En algunas ocasiones consiguieron acceso completo al departamento técnico, y en otras incluso consiguieron todo el directorio completo, con todos los nombres de usuario y contraseñas de toda la organización, además de direcciones personales, registros de llamadas, etc.

El ataque todavía está llevándose a cabo, y no todos los operadores han conseguido eliminar el acceso al grupo de espionaje chino. Algunos llevan teniendo acceso desde hace más de dos años, y en algunas ocasiones consiguieron instalar su propio servicio VPN en la infraestructura para tener acceso rápido, persistente y directo en lugar de tener que ir dando salto entre dispositivos hackeados.

El método de hackeo era a través de vulnerabilidades en un servidor web con Microsoft IIS. Ahí instalaban un webshell, como China Chopper, para ejecutar código arbitrario, y ya iban ganando poco a poco acceso la red completa. Para extraer las credenciales utilizaban Mimikatz, mientras que encontraban más dispositivos a los que hackear con NetBIOS. Para controlarlos de manera remota, usaban PoisonIvy.

Detectar su presencia en las redes era bastante difícil, ya que no estaban enviando tráfico fuera constantemente. En su lugar, entraban en la red, cogían la información que necesitaban, y se salían, estando inactivos por periodos de uno a tres meses.

Todo este esfuerzo, en el que se han expuesto datos de ubicación de cientos de millones de suscriptores, tenía como objetivo espiar y conocer la ubicación de unos 20 o 30 objetivos, como políticos, diplomáticos y agentes secretos. Gracias a ello, pueden conocer el historial de llamadas para conocer con quién han hablado, dónde trabajan, dónde se hospedan, etc. (www.adslzone.net)