Los investigadores de McAfee han descubierto campañas de ciberespionaje dirigidas a empresas de telecomunicaciones conectadas a la tecnología 5G. La campaña, denominada Operación Diànxùn, utiliza dominios de phishing de la marca Huawei para atraer a los trabajadores de telecomunicaciones a descargar malware en sus computadoras de trabajo.
Los investigadores de seguridad de McAfee Advanced Threat Research (ATR) para inteligencia estratégica Thomas Roccia, Thibault Seret y John Fokker señalaron que las tácticas, técnicas y procedimientos (TTP) empleados eran consistentes con los utilizados por los operadores de amenazas chinos Red Delta y Mustang Panda. Afirman que la campaña de ciberespionaje tiene como objetivo robar información secreta sobre la tecnología 5G.
“En este informe, sacamos a la luz una reciente operación de espionaje supuestamente atribuida a un grupo APT chino. En relación con el sector objetivo [telecomunicações], creemos que esta campaña se utilizó para acceder a datos sensibles y espiar empresas vinculadas a la tecnología 5G. Además, el uso de un sitio web falso de Huawei brinda más pistas sobre los objetivos de las telecomunicaciones ”, dice el informe.
Los atacantes utilizaron un sitio profesional falso de Huawei para atraer trabajadores de telecomunicaciones. Los piratas informáticos personificaron a Huawei creando un sitio profesional falso convincente de Huawei para atraer víctimas. “Creemos con un nivel medio de confianza que los atacantes utilizaron un sitio de phishing disfrazado de una página de carrera de la empresa Huawei para apuntar a personas que trabajan en la industria de las telecomunicaciones”.
Engañaron a los trabajadores de telecomunicaciones para que descargaran malware disfrazado de aplicaciones Flash. Al morder el anzuelo, las víctimas fueron dirigidas a otro sitio web flash.cn, que se asemeja al sitio oficial chino de descarga de Flash.
vea eso
Huawei refuta la declaración del asesor de seguridad de EE. UU.
EE. UU. Afirma tener evidencia de puerta trasera en el equipo de Huawei
Los investigadores señalan que las aplicaciones flash descargadas se han conectado al dominio de los atacantes “hxxp: //update.careerhuawei.net”, que imita el portal de carreras de Huawei, “hxxp: //career.huawei.com”. Los investigadores de seguridad también encontraron otro dominio “hxxp: //update.huaweiyuncdn.com” utilizado en la campaña de ciberespionaje a finales de 2020.
“Aunque el vector inicial de la infección no está del todo claro, creemos con un nivel medio de confianza que las víctimas fueron atraídas a un dominio bajo el control del operador de amenazas, del cual fueron infectadas con malware que el actor de amenazas aprovechó de hacer descubrimientos adicionales y recopilar datos ”, concluye el informe.
La mayoría de las empresas de telecomunicaciones objetivo operaban en EE. UU., Europa y el sudeste asiático. Sin embargo, había un “gran interés” en las empresas de telecomunicaciones alemanas, vietnamitas e indias. Los investigadores no pudieron identificar el vector inicial utilizado para atraer a los trabajadores de telecomunicaciones al sitio falso de carrera de Huawei. Tampoco pudieron establecer si Huawei estaba involucrado en la campaña de ciberespionaje. Sin embargo, concluyeron que la campaña estaba relacionada con la prohibición de equipos chinos en el lanzamiento de la tecnología 5G.
Fuente: https://www.cisoadvisor.com.br/hackers-usam-site-falsificado-da-huawei-para-roubar-informacoes-sobre-5g/?rand=59052
