Uma nota conjunta emitida por Austrália, Canadá, Nova Zelândia e EUA alertou para uma ampla campanha de espionagem cibernética realizada por atores de ameaças afiliados à República Popular da China (RPC) visando provedores de telecomunicações.
"As explorações ou comprometimentos identificados associados à atividade desses atores de ameaças alinham-se com fraquezas existentes associadas à infraestrutura das vítimas; nenhuma atividade nova foi observada", disseram as agências governamentais.
Oficiais dos EUA informaram na terça-feira que os atores de ameaças ainda estão se escondendo dentro das redes de telecomunicações dos EUA cerca de seis meses após o início de uma investigação sobre as intrusões.
Os ataques foram atribuídos a um grupo de estado-nação da China rastreado como Salt Typhoon, que se sobrepõe com atividades rastreadas como Earth Estries, FamousSparrow, GhostEmperor e UNC2286.
O grupo é conhecido por estar ativo desde pelo menos 2020, com alguns dos artefatos desenvolvidos já em 2019.
Na semana passada, a T-Mobile reconheceu que detectou tentativas de atores mal-intencionados de infiltrar seus sistemas, mas observou que nenhum dado de cliente foi acessado.
A notícia da campanha de ataque surgiu em setembro, quando o The Wall Street Journal relatou que o grupo de hackers infiltrou uma série de empresas de telecomunicações dos EUA como parte dos esforços para obter informações sensíveis.
A China rejeitou as alegações.
Para contrariar os ataques, agências de cibersegurança e inteligência emitiram orientações sobre as melhores práticas que podem ser adaptadas para fortalecer redes empresariais -
- Analisar e investigar quaisquer modificações de configuração ou alterações em dispositivos de rede como switches, roteadores e firewalls.
- Implementar uma solução forte de monitoramento de fluxo de rede e capacidade de gestão de rede.
- Limitar a exposição do tráfego de gestão à internet.
- Monitorar logins de usuários e contas de serviço para detectar anomalias.
- Implementar registro centralizado e seguro com capacidade de analisar e correlacionar grandes quantidades de dados de diferentes fontes.
- Garantir que a gestão de dispositivos esteja fisicamente isolada das redes de clientes e de produção.
- Aplicar uma estratégia estrita, de negar por padrão ACL para controlar o tráfego de entrada e de saída.
- Empregar forte segmentação de rede através do uso de ACLs de roteador, inspeção de pacotes stateful, capacidades de firewall e construções de zona desmilitarizada (DMZ).
- Segurança de gateways de VPN privados limitando a exposição externa.
- Garantir que o tráfego seja criptografado de ponta a ponta na maior medida possível e que o Transport Layer Security (TLS) v1.3 seja utilizado em quaisquer protocolos compatíveis com TLS para proteger os dados em trânsito sobre uma rede.
- Desativar todos os protocolos de descoberta desnecessários, como o Cisco Discovery Protocol (CDP) ou Link Layer Discovery Protocol (LLDP), bem como outros serviços exploráveis como Telnet, File Transfer Protocol (FTP), Trivial FTP (TFTP), SSH v1, servidores Hypertext Transfer Protocol (HTTP) e SNMP v1/v2c.
- Desativar o roteamento de origem do Internet Protocol (IP).
- Garantir que nenhuma senha padrão esteja sendo utilizada.
- Confirmar a integridade da imagem de software em uso utilizando uma utilidade de cálculo de hashing confiável, se disponível.
- Realizar varreduras de portas e de infraestrutura conhecida voltada para a internet para garantir que nenhum serviço adicional esteja acessível através da rede ou da internet.
- Monitorar anúncios de fim de vida (EOL) de fornecedores para dispositivos de hardware, versões de sistemas operacionais e software, e atualizar o mais rápido possível.
- Armazenar senhas com algoritmos de hashing seguros.
- Exigir autenticação multifatorial (MFA) resistente a phishing para todas as contas que acessam os sistemas da empresa.
- Limitar a duração dos tokens de sessão e exigir que os usuários se reautentiquem quando a sessão expirar.
- Implementar uma estratégia de Controle de Acesso Baseado em Função (RBAC) e remover quaisquer contas desnecessárias, revisando periodicamente as contas para verificar se continuam sendo necessárias.
"Aplicar patches em dispositivos e serviços vulneráveis, bem como proteger ambientes de forma geral, reduzirá oportunidades para intrusões e mitigará a atividade dos atores", segundo o alerta.
O desenvolvimento ocorre em meio a tensões comerciais crescentes entre China e EUA, com Pequim proibindo as exportações de minerais críticos como gálio, germânio e antimônio para a América em resposta à repressão deste último à indústria de semicondutores da China.
No início desta semana, o Departamento de Comércio dos EUA anunciou novas restrições que visam limitar a capacidade da China de produzir semicondutores de nó avançado que podem ser usados em aplicações militares, além de restringir as exportações para 140 entidades.
Embora as empresas de chips chinesas tenham desde então se comprometido a localizar cadeias de suprimentos, associações da indústria no país alertaram as empresas domésticas de que os chips dos EUA "não são mais seguros".
Achou este artigo interessante? Siga-nos no Twitter e no LinkedIn para ler mais conteúdos exclusivos que postamos.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...