Un grupo de hackers ha conseguido acceder a los sistemas de más de una decena de operadores de telecomunicaciones de distintos países por todo el mundo, y en el proceso han obtenido grandes cantidades de datos personales y corporativos. Las primeras investigaciones apuntan a que han sido espías chinos.
Operadores occidentales han tenido a chinos dentro durante años robando datos
Así lo revela la investigación llevada a cabo por la empresa Cybereason, con de Estados Unidos e Israel, que afirman que los atacantes han accedido a los datos de operadores de más de 30 países y buscaban conseguir datos de personas que pertenecen a gobiernos, política y cuerpos y fuerzas del estado.
instalar su propio servicio VPN en la infraestructura para tener rápido, persistente y directo en lugar de tener que ir dando salto entre dispositivos hackeados.
El método de hackeo era a través de vulnerabilidades en un servidor web con Microsoft IIS. Ahí instalaban un webshell, como China Chopper, para ejecutar código arbitrario, y ya iban ganando poco a poco la red completa. Para extraer las credenciales utilizaban Mimikatz, mientras que encontraban más dispositivos a los que hackear con NetBIOS. Para controlarlos de manera remota, usaban PoisonIvy.
Detectar su presencia en las redes era bastante difícil, ya que no estaban enviando tráfico fuera constantemente. En su lugar, entraban en la red, cogían la información que necesitaban, y se salían, estando inactivos por periodos de uno a tres meses.
Todo este esfuerzo, en el que se han expuesto datos de ubicación de cientos de millones de suscriptores, tenía como objetivo espiar y conocer la ubicación de unos 20 o 30 objetivos, como políticos, diplomáticos y agentes secretos. Gracias a ello, pueden conocer el historial de llamadas para conocer con quién han hablado, dónde trabajan, dónde se hospedan, etc.
