Orientación conjunta sobre amenazas de intrusión en la red del grupo cibernético patrocinado por el estado de la República Popular China
El Centro Canadiense de Seguridad Cibernética (Centro Cibernético) se ha unido al Centro Australiano de Seguridad Cibernética de la Dirección de Señales de Australia y a los siguientes socios internacionales para publicar una guía conjunta para destacar y protegerse contra una amenaza de intrusión en la red en curso de un grupo cibernético asociado con el Ministerio de Seguridad del Estado (MSS) de la República Popular China (RPC):
- La Agencia de Seguridad Cibernética y de Infraestructura de los Estados Unidos (CISA), la Agencia de Seguridad Nacional (NSA) y la Oficina Federal de Investigaciones (FBI)
- Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC-UK)
- Centro Nacional de Seguridad Cibernética de Nueva Zelanda (NCSC-NZ)
- El Servicio Federal de Inteligencia Alemán (BND) y la Oficina Federal para la Protección de la Constitución (BfV)
- El Servicio de Inteligencia Nacional de la República de Corea (NIS) y el Centro Nacional de Seguridad Cibernética del NIS
- Centro Nacional de Preparación para Incidentes y Estrategia de Ciberseguridad (NISC) y Agencia Nacional de Políticas (NPA) de Japón
El grupo cibernético patrocinado por el Estado busca atacar las redes gubernamentales y del sector privado mediante:
- Explotar dispositivos vulnerables que están al final de su ciclo de vida, sin parches o que ya no reciben mantenimiento
- Explotar nuevas vulnerabilidades públicas en software ampliamente utilizado
- Utilizar dispositivos comprometidos como puntos de lanzamiento para llevar a cabo ataques diseñados para mezclarse con el tráfico legítimo de la red.
La guía conjunta comparte información y medidas de mitigación, así como estudios de casos que demuestran las herramientas y el conocimiento técnico del grupo cibernético.
Las organizaciones deben protegerse contra las amenazas de intrusión en la red mediante lo siguiente:
- Mantener información de registro completa e histórica
- Emisión de parches rápidos para todos los dispositivos y servicios conectados a Internet
- Segmentar redes y aplicar medidas estrictas de control de acceso, en particular para Active Directory y servidores de autenticación.
Las medidas de mitigación adicionales para prevenir esta y otras amenazas de intrusión en la red similares incluyen:
- Deshabilitar servicios, puertos y protocolos de red no utilizados o innecesarios
- Uso de firewalls para proteger servidores web y aplicaciones.
- Implementación de la autenticación multifactor
- Reemplazo de equipos al final de su vida útil
Lea la guía conjunta La técnica MSS de la República Popular China en acción.