Malware Volt Typhoon: Infraestructuras críticas de EE.UU. atacadas
En una reciente revelación, el gobierno de EE.UU. reveló que el grupo de hacking patrocinado por el estado chino, Volt Typhoon se ha infiltrado subrepticiamente en redes de infraestructuras críticas del país durante un asombroso periodo de cinco años. Este malware incrustado incrustado por Volt Typhoon se dirigió a sectores vitales para la nación, como las comunicaciones, la energía, el transporte y los sistemas de agua y aguas residuales, tanto en Estados Unidos como en Guam.
Vulnerabilidades de las infraestructuras estadounidenses: las tácticas no convencionales hacen saltar las alarmas
Las agencias gubernamentales estadounidenses, entre ellas la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), la Agencia de Seguridad Nacional (NSA) y la Oficina Federal de Investigación (FBI), expresaron su preocupación por el Volt Typhoonpor sus tácticas atípicas. A diferencia del ciberespionaje el Volt Typhoon mostraba un patrón de comportamiento único, lo que levantaba sospechas sobre sus verdaderas intenciones.
La evaluación postula que el Tifón Volt se está posicionando estratégicamente en las redes de TI, sentando las bases para posibles ataques cibernéticos perjudiciales o destructivos contra la seguridad de las infraestructuras críticas de Estados Unidos. seguridad de infraestructuras críticas durante una crisis o conflicto grave.
La colaboración internacional valida las preocupaciones
La gravedad de la situación se ve subrayada por un aviso conjunto de EE.UU. y sus aliados de inteligencia, la alianza de los Cinco Ojos (FVEY), formada por Australia, Canadá, Nueva Zelanda y el Reino Unido. Esta colaboración internacional refuerza la gravedad de la amenaza que supone el Tifón Volt y la necesidad de una respuesta unificada. Esto viene a demostrar que las violaciones de la seguridad de las infraestructuras pueden tener consecuencias devastadoras, comprometiendo datos sensibles e interrumpiendo operaciones críticas.
Volt Typhoon: Un adversario sigiloso
Anteriormente conocido como Silueta de Bronce, Tauro Insidioso, UNC3236, Panda de Vanguardia o Voltzita, Volt Typhoon opera como un grupo encubierto de ciberespionaje con base en China, activo desde junio de 2021. Su existencia salió a la luz en mayo de 2023, cuando FVEY y Microsoft revelaron la persistente infiltración del grupo en organizaciones de infraestructuras críticas de EE.UU. y Guam, utilizando sofisticadas técnicas de living-off-the-land (LotL).
Vivir de la tierra: Un oficio sigiloso
Volt Typhoonde "vivir de la tierra "vivir de la tierra le permite operar discretamente, mezclando a la perfección la actividad maliciosa con el comportamiento legítimo del sistema y la red. Esta astucia dificulta la detección y diferenciación de sus actividades incluso para organizaciones con posturas de seguridad maduras.
Orígenes ocultos: El papel de los proxies multisalto
Para ocultar sus verdaderos orígenes, Volt Typhoon emplea proxies multisalto, como KV-botnet, para encaminar el tráfico malicioso a través de routers y cortafuegos comprometidos en Estados Unidos. amenazas persistentes.
El informe de CrowdStrike destaca el enfoque estratégico
Un informe de la empresa de ciberseguridad CrowdStrike de junio de 2023 arrojó luz sobre Volt Typhoon. El grupo cuenta con un amplio arsenal de herramientas de código abierto adaptadas a un conjunto específico de víctimas, lo que demuestra una metodología calculada y selectiva. Sus esfuerzos de reconocimiento previo a la explotación garantizan un profundo conocimiento del entorno del objetivo, lo que permite tácticas y procedimientos a medida para la persistencia a largo plazo.
Persecución persistente de las credenciales de administrador
El modus operandi de Volt Typhoonconsiste en explotar fallos de escalada de privilegios para obtener credenciales de administrador dentro de la red. Este acceso elevado facilita el movimiento lateral, el reconocimiento y el compromiso total del dominio.
El objetivo final es mantener el acceso a los entornos comprometidos, volviendo a atacarlos sistemáticamente a lo largo de los años para validar y ampliar los accesos no autorizados. Por lo tanto, las organizaciones deben permanecer vigilantes frente a amenazas persistentes avanzadas (APT) para salvaguardar sus activos digitales y mantener la integridad operativa.
Persistencia no detectada y seguridad operativa
El Volt Typhoon se distingue por su enfoque en el sigilo y la seguridad operativa, evadiendo detección de ciberataques durante periodos prolongados. El fuerte énfasis del grupo en la eliminación selectiva de registros oculta sus acciones en entornos comprometidos, lo que garantiza su persistencia a largo plazo sin ser descubierto.
Citizen Lab pone al descubierto una amplia campaña de influencia
Coincidiendo con estas revelaciones, el Citizen Lab descubrió una red de 123 sitios web que se hacían pasar por medios de noticias locales en 30 países, participando en una amplia campaña de influencia. Vinculada a una empresa de relaciones públicas de Pekín llamada Shenzhen Haimaiyunxiang Media Co., Ltd., la operación, apodada PAPERWALL, presenta similitudes con HaiEnergy, empleando operadores diferentes y tácticas, técnicas y procedimientos (TTP) únicos.
Respuesta de la Embajada de China
En respuesta a estas acusaciones, un portavoz de la embajada de China en Washington las tachó de tendenciosas y de aplicar un doble rasero. Argumentan que calificar los contenidos prochinos de "desinformación" mientras que la información antichina se considera "verdadera" refleja una perspectiva sesgada.
Conclusión
La revelación de Volt Typhoonen infraestructuras críticas de EE.UU. subraya la naturaleza evolutiva de las amenazas a la amenazas a la ciberseguridad a las que se enfrentan las naciones de todo el mundo. Hacer frente a estos retos exige un esfuerzo concertado de gobiernos, agencias de ciberseguridad y socios del sector privado.
Aumentando la colaboración e invirtiendo en mecanismos de defensa robustospodemos proteger mejor nuestros sistemas de cualquier software malicioso y mitigar el riesgo que suponen los actores de amenazas sofisticadas como el Tifón Volt.
Las fuentes de este artículo incluyen artículos en The Hacker News y Reuters.