Piratas Informáticos Chinos se Escondieron en la Red de Infraestructura de EE. UU. por 5 Años

El grupo de ciberespionaje chino Volt Typhoon se infiltró en una red de infraestructura crítica en los Estados Unidos y permaneció sin ser detectado durante al menos cinco años antes de ser descubierto, según un aviso conjunto de CISA, la NSA, el FBI y las agencias asociadas Five Eyes.

Los piratas informáticos de Volt Typhoon son conocidos por utilizar ampliamente técnicas de vida de la tierra (LOTL) como parte de sus ataques a organizaciones de infraestructura crítica.

También utilizan cuentas robadas y aprovechan una sólida seguridad operativa, lo que les permite evitar la detección y mantener la persistencia a largo plazo en los sistemas comprometidos.

“De hecho, las agencias autoras de EE. UU. han observado recientemente indicios de que los actores de Volt Typhoon mantienen acceso y puntos de apoyo dentro de algunos entornos de TI víctimas durante al menos cinco años”, dijeron las agencias .

“Los actores de Volt Typhoon llevan a cabo un amplio reconocimiento previo a la explotación para aprender sobre la organización objetivo y su entorno; adaptan sus tácticas, técnicas y procedimientos (TTP) al entorno de la víctima y dedican recursos continuos a mantener la persistencia y la comprensión del entorno objetivo a lo largo del tiempo.

El grupo de amenazas chino ha violado con éxito las redes de múltiples organizaciones de infraestructura crítica en todo Estados Unidos, apuntando principalmente a los sectores de comunicaciones, energía, transporte y agua/aguas residuales.

​Sus objetivos y tácticas también difieren de las actividades típicas de ciberespionaje, lo que lleva a las autoridades a concluir con gran confianza que el grupo pretende posicionarse dentro de las redes que les brindan acceso a activos de tecnología operativa (OT) con el objetivo final de alterar la infraestructura crítica.

Las autoridades estadounidenses también temen que Volt Typhoon explote este acceso a redes críticas para causar efectos perturbadores, particularmente en medio de posibles conflictos militares o tensiones geopolíticas.

“Los actores del Volt Typhoon están tratando de posicionarse previamente, utilizando técnicas de vida de la tierra (LOTL), en redes de TI para realizar actividades cibernéticas disruptivas o destructivas contra la infraestructura crítica de los EE. UU. en caso de una crisis importante o un conflicto con los Estados Unidos”. CISA advirtió .

“Esto es algo que hemos estado abordando durante mucho tiempo”, dijo Rob Joyce, director de ciberseguridad de la NSA y subdirector nacional de Sistemas de Seguridad Nacional (NSS).

Consejos de Mitigación para Defensores de la Red

El aviso de hoy también va acompañado de una guía técnica con información sobre cómo detectar las técnicas Volt Typhoon y si se utilizaron para comprometer las redes de su organización, así como medidas de mitigación para protegerlas contra atacantes que utilizan técnicas Living Off the Land.

El grupo de amenazas chino, también identificado como Bronze Silhouette, ha estado atacando y violando la infraestructura crítica de EE. UU. desde al menos mediados de 2021, según un informe de mayo de 2023 publicado por Microsoft.

A lo largo de sus ataques, también han utilizado una botnet de cientos de pequeñas oficinas/oficinas domésticas (SOHO) en todo Estados Unidos (denominada KV-botnet ) para ocultar su actividad maliciosa y evadir la detección.

El FBI interrumpió la botnet KV en diciembre de 2023 y los piratas informáticos no lograron reconstruir la infraestructura desmantelada después de que Black Lotus Labs de Lumen derribara todos los servidores C2 y de carga útil restantes.

El día que se reveló el ataque a la botnet KV, CISA y el FBI también instaron a los fabricantes de enrutadores SOHO a garantizar que sus dispositivos estén protegidos contra los ataques Volt Typhoon eliminando fallas en la interfaz de administración web durante el desarrollo y utilizando valores predeterminados de configuración seguros.

Relacionados