Cuando el pasado otoño se descubrió que el grupo de hackers chino conocido como Salt Typhoon había penetrado profundamente en las principales empresas de telecomunicaciones de Estados Unidos, llegando apenetrar en no menos de nueve de las operadoras telefónicas y accediendo a los mensajes de texto y las llamadas de los estadounidenses en tiempo real, el gobierno estadounidense trató la campaña de piratería como un incendio de cuatro alarmas. Pero incluso después de que esos piratas informáticos salieran a la luz, han continuado su racha de intrusiones en las redes de telecomunicaciones de todo el mundo, incluidas las de Estados Unidos.
Investigadores de la empresa de ciberseguridad Recorded Future revelaron el miércoles por la noche en un informe que han visto cómo Salt Typhoon vulneraba cinco redes de telecomunicaciones y proveedores de servicios de internet de todo el mundo, así como más de una docena de universidades desde Utah hasta Vietnam, todo ello entre diciembre y enero. Según los analistas de la compañía, entre las empresas de telecomunicaciones se encuentran un proveedor de servicios de internet y una empresa de telecomunicaciones de EE UU y otra filial de una empresa de telecomunicaciones del Reino Unido con sede en EE UU, aunque no quisieron revelar el nombre de las víctimas a WIRED.
Salt Typhoon no se ha ido
«Son muy activos, y siguen siéndolo», advierte Levi Gundert, que dirige el equipo de investigación de Recorded Future conocido como Insikt Group. «Creo que simplemente hay una infravaloración general de lo agresivos que están siendo a la hora de convertir las redes de telecomunicaciones en queso suizo».
Para llevar a cabo esta última campaña de intrusiones, Salt Typhoon (que Recorded Future rastrea con su propio nombre, RedMike, en lugar del apodo Typhoon creado por Microsoft) se ha centrado en las interfaces web expuestas a internet del software IOS de Cisco, que se ejecuta en los routers y conmutadores del gigante de las redes. Los hackers explotaron dos vulnerabilidades diferentes en el código de esos dispositivos, una de las cuales concede acceso inicial y otra que proporciona privilegios de root, lo que da a los piratas informáticos el control total de un equipo a menudo potente con acceso a la red de una víctima.
«En cualquier momento en el que estés incrustado en redes de comunicación en infraestructuras como routers, tienes las llaves del reino en lo que eres capaz de acceder y observar y exfiltrar», afirma Gundert.
Recorded Future encontró más de 12,000 dispositivos Cisco cuyas interfaces web estaban expuestas en línea, y afirma que los piratas informáticos atacaron más de mil de esos dispositivos instalados en redes de todo el mundo. De ellos, parecen haberse centrado en un subconjunto más reducido de redes de telecomunicaciones y universitarias cuyos dispositivos Cisco explotaron con éxito. En el caso de los objetivos seleccionados, Salt Typhoon configuró los dispositivos Cisco pirateados para que se conectaran a los servidores de mando y control de los propios hackers a través de la encapsulación de enrutamiento genérico, o túneles GRE, un protocolo utilizado para establecer canales de comunicación privados, y luego utilizó esas conexiones para mantener su acceso y robar datos.
¿Qué dice Cisco?
Cuando WIRED se puso en contacto con Cisco en busca de comentarios, la compañía señaló un aviso de seguridad que publicó sobre vulnerabilidades en la interfaz web de su software IOS en 2023. «Seguimos instando encarecidamente a los clientes a que sigan las recomendaciones indicadas en el aviso y actualicen a la versión de software fija disponible», escribió un portavoz en un comunicado.
El pirateo de dispositivos de red como puntos de entrada para atacar a las víctimas, a menudo aprovechando vulnerabilidades conocidas que los propietarios de los dispositivos no han parcheado, se ha convertido en un procedimiento operativo estándar para Salt Typhoon y otros grupos de hackers chinos. Ello se debe en parte a que estos dispositivos de red carecen de muchos de los controles de seguridad y del software de supervisión que se han extendido a dispositivos informáticos más tradicionales, como servidores y PC. Recorded Future señala en su informe que, desde hace al menos cinco años, los sofisticados equipos de espionaje chinos han utilizado estos dispositivos de red vulnerables como principal técnica de intrusión.
