Una campaña de espionaje de años de duración, vinculada a Pekín, que afectó a
compañías de telecomunicaciones estadounidenses y secuestró las llamadas
telefónicas de Donald Trump, en realidad se dirigió a más de 80 países,
con un alcance global mucho mayor del que los investigadores creían
inicialmente.
El alcance de la intrusión permitió a los agentes de inteligencia chinos
vigilar las comunicaciones privadas de ciudadanos estadounidenses y rastrear
sus movimientos alrededor del mundo, según declaró Brett Leatherman, el
principal funcionario de ciberseguridad del FBI, en una entrevista. La agencia
estima que los intrusos probablemente obtuvieron más de un millón de registros
de llamadas y se centraron en las llamadas telefónicas y los mensajes de texto
de más de 100 estadounidenses.
«Esta es una de las brechas de ciberespionaje más importantes que hemos
visto en Estados Unidos», declaró.
Los hackers también pudieron acceder a información de los sistemas que el
gobierno federal utiliza para las solicitudes de escuchas telefónicas
autorizadas por los tribunales, uno de los aspectos de la brecha que más
preocupó a los funcionarios estadounidenses.
«Realmente debería hacer sonar las alarmas para todos los
estadounidenses», concluyó Leatherman. La campaña «Salt Typhoon» data de al menos 2019, pero las autoridades estadounidenses no la
descubrieron hasta el año pasado. Permitió a actores vinculados a China
acceder a datos de llamadas de clientes estadounidenses, comunicaciones
privadas de un número limitado de personas, información sensible de las
fuerzas del orden e información técnica de la red que podría fundamentar
futuros ataques, según
informó The Wall Street Journal el año pasado.
«Si se logra extraer información similar a nivel mundial, se puede empezar
a agregar esos datos y obtener un panorama de inteligencia muy diferente al
que se obtendría si se atacara y comprometiera un solo país», afirmó Leatherman.
Se ha observado que Salt Typhoon, que
se superpone
con la actividad rastreada como GhostEmperor, Operator Panda, RedMike y
UNC5807, obtiene acceso inicial a través de la
explotación de dispositivos de borde de red
expuestos de Cisco (CVE-2018-0171,
CVE-2023-20198,
and
CVE-2023-20273),
Ivanti (CVE-2023-46805
and
CVE-2024-21887),
y Palo Alto Networks (CVE-2024-3400).
Las redes de las principales operadoras de telefonía móvil estadounidenses se
encontraban entre las vulneradas, según informó anteriormente el Journal.
Verizon Communications declaró a principios de este año que un «agente
amenazador de un estado nación» había accedido a su red como parte de un
ataque más amplio y que había contenido el incidente. AT&T declaró a
finales del año pasado que
«la República Popular China tuvo como objetivo a un pequeño número de
personas de interés para la inteligencia extranjera»
y que, en los pocos casos en que la información se vio afectada, cumplió con
sus obligaciones de notificación.
T-Mobile US declaró a finales del año pasado que detectó intentos de
infiltración en sus sistemas por parte de actores maliciosos. Sus defensas
«funcionaron según lo previsto para evitar cualquier acceso o exfiltración
de información de clientes o información confidencial», declaró una portavoz de T-Mobile en un comunicado.
El Buró Federal de Investigaciones (FBI)
ha notificado a aproximadamente 600 empresas que la actividad de
espionaje indicó cierto interés en ellas, incluyendo sus relaciones
comerciales y vulnerabilidades de red. En algunos países, se han producido
vulneraciones de las redes de telecomunicaciones en diversos grados, mientras
que en otros, el grado de acceso no está claro. El año pasado, funcionarios
estadounidenses describieron la filtración como una operación de espionaje
perjudicial y bien ejecutada por Pekín. Los investigadores ahora creen que la
actividad fue más amplia e indiscriminada de lo que se creía previamente, y
que va más allá de lo que los países suelen entender como espionaje, afirmó
Leatherman. Esta actividad potencialmente permitió a espías chinos utilizar
datos de geolocalización de teléfonos celulares para rastrear los movimientos
de estadounidenses, incluso fuera del país, añadió.
«Ese ataque global indiscriminado realmente está fuera de las normas de las
operaciones en el ciberespacio», afirmó Leatherman.
Pekín ha negado su participación en la campaña y ha acusado a las agencias de
espionaje y empresas de ciberseguridad estadounidenses de colaborar
secretamente para reunir pruebas falsas con el fin de incriminar a China. Un
portavoz de la embajada china en Washington, Liu Pengyu, afirmó que
«Estados Unidos no había presentado pruebas concluyentes y fiables» de que
Salt Typhoon estuviera vinculado al gobierno chino. China se opone
firmemente y combate toda forma de ciberataques y ciberdelitos», afirmó.
El FBI cree que los intrusos están en gran medida controlados y que ahora está
mejor preparado para detectar su actividad. El miércoles, publicó un memorando
que proporcionaba nuevos detalles sobre las intrusiones del Tifón Salino,
incluyendo información técnica sobre los hackers diseñada para ayudar a las
empresas a encontrarlos en sus redes. El documento fue firmado por otras
agencias estadounidenses y servicios de inteligencia y ciberseguridad de otros
países, como el Reino Unido, Canadá, la República Checa, Finlandia y Polonia.
Los hackers se infiltraron en las redes explotando diversas vulnerabilidades
conocidas en el software y los dispositivos conectados a ellas, incluyendo
routers, según el memorando.
Fuente:
WSJ