Una de las fallas de seguridad críticas explotadas por el tifón de sal de China para violar las redes gubernamentales y de telecomunicaciones de EE. UU. ha tenido un parche disponible durante casi cuatro años; sin embargo, a pesar de las repetidas advertencias de las autoridades y las empresas de seguridad del sector privado, casi todos los servidores Microsoft Exchange de cara al público las instancias con esta vulnerabilidad permanecen sin parchear.
Según la empresa de gestión de riesgos cibernéticos Tenable, el 91 por ciento de las casi 30.000 instancias de Exchange accesibles abiertamente vulnerables a CVE-2021-26855, también conocido como ProxyLogon, no se han actualizado para cerrar el agujero.
microsoft revelado esta vulnerabilidad en marzo de 2021 y advirtió que estaba siendo explotada junto con una cadena de otros errores por parte de fisgones del gobierno chino para lograr la ejecución remota de código en los servidores Exchange de los objetivos. Más tarde ese año, el Naciones de los Cinco Ojos calificó a ProxyLogon como una de las vulnerabilidades más explotadas de 2021.
A modo de comparación: el equipo de Tenable también analizó más de 20.000 dispositivos que padecían dos vulnerabilidades de Ivanti (CVE-2023-46805 y CVE-2024-21887) también abusó de Salt Typhoon y descubrió que más del 92 por ciento de estos dispositivos fueron completamente remediados.
«Salt Typhoon es conocido por mantener una presencia sigilosa en las redes de las víctimas y permanecer sin ser detectado durante un período de tiempo significativo», dijo Scott Caveza, ingeniero de investigación de Tenable. dicho en un informe del jueves.
Los fisgones mantienen la persistencia a través de malware personalizado que incluye GhostSpider, SnappyBee y el troyano de acceso remoto Masol, añadió.
Esto se hace eco de un informe anterior de Trend Micro que decía malware detectado en las campañas de Salt Typhoon incluye SnappyBee, que es una puerta trasera modular compartida entre grupos vinculados al gobierno chino, además del rootkit Demodex para permanecer oculto, así como GhostSpider, una nueva puerta trasera que puede cargar diferentes módulos según los propósitos específicos de los atacantes.
El «ojo» de cada uno de estos tifones es que apuntan a vulnerabilidades no parcheadas y a menudo bien conocidas para el acceso inicial.
El último análisis de Tenable surge como Los legisladores de Washington luchan con toda la magnitud de las intrusiones del tifón de sal, así como las de otras bandas del gobierno chino.
Estas tres tripulaciones de estados-nación fueron temas de discusión durante la audiencia de ayer del Comité de Seguridad Nacional de la Cámara de Representantes de Estados Unidos.
Durante la reunión del comité, testigos expertos, incluidos ex líderes gubernamentales y militares de ciberseguridad, dijeron a los legisladores que China es «el ciberadversario más capaz y oportunista de Estados Unidos» y «preparándose para la guerra en las redes de las empresas, la infraestructura y las agencias gubernamentales de Estados Unidos».
Cada una de las bandas respaldadas por Beijing tiene su propio enfoque y organizaciones objetivo: los ciberespías de Salt Typhoon han pirateado telecomunicaciones de estados unidos y redes gubernamentales con la intención de robar llamadas y datos pertenecientes a funcionarios gubernamentales y políticos.
Voltio tifón ha apuntado a la infraestructura crítica de Estados Unidos con el objetivo de mantener la persistencia y prepararse para acciones destructivas. Este es el equipo que mantiene despiertos por la noche a los funcionarios de seguridad nacional y a los analistas de inteligencia de amenazas.
«Como planificador militar, solía llamar a esto preparación operativa del campo de batalla», dijo el miércoles al Congreso el contralmirante retirado de la Marina estadounidense, Mark Montgomery.
«El objetivo general de China al ejecutar una operación como Volt Typhoon es perturbar o degradar los sistemas ferroviarios, portuarios y de aviación de Estados Unidos, de modo que Estados Unidos no pueda movilizar rápidamente fuerzas militares y llevar equipo, personal y suministros militares al campo de batalla».
Mientras tanto, Tifón de linoLa atención se ha centrado en comprometer los dispositivos de IoT para crear una botnet que pueda usarse para lanzar ataques futuros.
«Si bien los objetivos y actividades de cada grupo son únicos, el ‘ojo’ de cada uno de estos tifones es que apuntan a vulnerabilidades no parcheadas y a menudo bien conocidas para el acceso inicial, dirigidas a servidores públicos», escribió Caveza. «A pesar de la persistencia de estos actores de amenazas, es vital que las organizaciones parcheen de forma rutinaria los dispositivos de acceso público y mitiguen rápidamente las vulnerabilidades conocidas y explotadas». ®
