La gigante tecnológica afirma haber desarticulado al grupo llamado UNC2814, que operaba al menos desde 2017. Identificó ataques contra 53 organizaciones.

Un extenso operativo de ciberespionaje que logró infiltrarse en redes de telecomunicaciones y organismos gubernamentales en decenas de países —entre ellos Chile— habría sido recientemente desarticulado por investigadores de seguridad de Google, quienes alertaron sobre el alcance de una campaña que habría estado activa durante varios años y que permitió el acceso a información sensible de comunicaciones.

Esto, habría ocurrido en la tercera semana de febrero, poco antes de que estallara la intensa polémica por el cable submarino de fibra óptica que China Mobile intentó construir entre Concón y Hong Kong.

Según un informe difundido por la gigante tecnológica el 25 de febrero, la investigación, realizada por el Google Threat Intelligence Group (GTIG) y la firma de ciberseguridad Mandiant, identificó una operación atribuida a un grupo de hackers conocido como UNC2814, vinculado presuntamente al aparato de inteligencia de China y que ha mantenido actividad al menos desde 2017, enfocándose en objetivos estratégicos como operadores de telecomunicaciones y entidades estatales.

Según el informe difundido por Google el 25 de febrero, la investigación concluyó que el grupo logró comprometer 53 organizaciones en 42 países, incluyendo naciones de América, Asia, África y Europa.

Entre los territorios donde se detectó actividad se encuentra Chile, además de otros países de América Latina como Brasil, Perú, Colombia y Panamá. «Este actor prolífico y evasivo tiene una larga historia de atacar gobiernos internacionales y organizaciones globales de telecomunicaciones», señalaron los investigadores.

El foco principal de la campaña -según Google- era infiltrarse en infraestructura de telecomunicaciones, un tipo de red particularmente sensible debido a la gran cantidad de datos que concentra.

Acceder a estos sistemas puede permitir obtener registros de llamadas, metadatos de comunicaciones y datos personales de usuarios, información que puede ser utilizada para labores de inteligencia, vigilancia o análisis de redes de contacto.

El analista jefe del equipo de inteligencia de Google, John Hultquist, describió la magnitud de la operación como un sistema de vigilancia global. «Esto era un vasto aparato de vigilancia utilizado para espiar a personas y organizaciones en todo el mundo», afirmó.

El malware GRIDTIDE

El núcleo técnico de la operación era un malware denominado GRIDTIDE, una puerta trasera o backdoor que permitía a los atacantes ejecutar comandos dentro de los sistemas comprometidos, transferir archivos y recopilar información de los equipos infectados.

Sin embargo, uno de los aspectos más sofisticados del ataque fue el método utilizado para controlar el malware y comunicarse con los sistemas infiltrados. En lugar de utilizar servidores clandestinos —un mecanismo común en ataques informáticos— los hackers empleaban Google Sheets como canal de comunicación, enviando instrucciones al malware a través de hojas de cálculo alojadas en la nube.

De esta forma, el tráfico malicioso se mezclaba con conexiones normales hacia servicios de Google, lo que hacía mucho más difícil detectar la actividad maliciosa. Los investigadores precisaron que la campaña no explotaba vulnerabilidades en los productos de Google, sino que abusaba del funcionamiento normal de herramientas ampliamente utilizadas en entornos corporativos.

De acuerdo con la investigación, el grupo UNC2814 habría logrado mantener acceso persistente a redes comprometidas durante largos períodos, utilizando herramientas legítimas del sistema operativo para moverse dentro de las infraestructuras atacadas y evitar levantar alertas.

En varios casos, las organizaciones afectadas podrían haber estado comprometidas durante años sin detectar la intrusión, señala el informe.

Para frenar la operación, Google aseguró que se ejecutaron una serie de acciones destinadas a cortar la infraestructura utilizada por los atacantes, entre ellas, desactivación de proyectos de Google Cloud utilizados por los hackers, el bloqueo de cuentas asociadas a la operación y la neutralización de dominios y canales utilizados para controlar el malware.

Fuente: Emol.com

Artículos relacionadosMás del autor