Un reciente informe de Google reveló la existencia de un grupo de ciberespionaje vinculado al Gobierno de China que habría estado operando en decenas de países, incluido Chile.
El reporte se conoce en medio de la polémica por el proyecto de cable submarino entre China y Chile. Según el análisis del Grupo de Inteligencia de Amenazas de Google (GTIG), junto con Mandiant y otros socios, se adoptaron “medidas para desmantelar una campaña global de espionaje dirigida a organizaciones gubernamentales y de telecomunicaciones en docenas de países de cuatro continentes“.
Según consigna BiobioChile, el grupo identificado es UNC2814, una organización de ciberespionaje con presuntos nexos con la República Popular China, que según Google es seguida desde 2017. De acuerdo con la compañía, “este actor, prolífico y escurridizo, tiene un largo historial de ataques a gobiernos internacionales y organizaciones globales de telecomunicaciones en África, Asia y América, y había confirmado intrusiones en 42 países cuando se produjo la interrupción”. En Sudamérica uno de los países afectados es Chile.
El informe explica que los atacantes utilizaron herramientas legítimas de servicios en la nube para ocultar su actividad. En particular, “el atacante utilizaba llamadas a la API -interfaz de programación de aplicaciones- para comunicarse con aplicaciones SaaS -Software como Servicio- como infraestructura de comando y control (C2) para camuflar su tráfico malicioso como benigno, una táctica común utilizada por los actores de amenazas para mejorar el sigilo de sus intrusiones”. De esta forma, el tráfico malicioso podía parecer normal dentro de los sistemas.
Google descarta afectación en sus servicios
Google también aclaró que no se trató de una vulnerabilidad en sus productos. “Esta actividad no se debe a una vulnerabilidad de seguridad en los productos de Google, sino que abusa de la funcionalidad legítima de la API de Hojas de Cálculo de Google para ocultar el tráfico C2“.
Además, se indicó que aún no se ha identificado el punto de acceso inicial del ataque, aunque el grupo tiene antecedentes de explotar servidores web y sistemas perimetrales. La empresa aseguró que desactivó la infraestructura utilizada por los atacantes y revocó los accesos vinculados a la operación.
Revisa aquí más noticias. Síguenos en Facebook e Instagram para ver fotografías con datos de contingencia nacional y del Gran Concepción.
