El gobierno de Estados Unidos dijo el miércoles que el grupo de hackers patrocinado por el estado chino conocido como Voltio tifón había estado integrado en algunas redes de infraestructura crítica del país durante al menos cinco años.
Los objetivos del actor de amenazas incluyen los sectores de comunicaciones, energía, transporte y sistemas de agua y aguas residuales en Estados Unidos y Guam.
“La elección de objetivos y el patrón de comportamiento de Volt Typhoon no es consistente con el ciberespionaje tradicional o las operaciones de recopilación de inteligencia, y las agencias autoras de EE. UU. evalúan con alta confianza que los actores de Volt Typhoon se están posicionando previamente en las redes de TI para permitir el movimiento lateral a los activos de OT para alterar funciones”, dijo el gobierno de EE.UU. dicho.
El aviso conjunto, que fue publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Agencia de Seguridad Nacional (NSA) y la Oficina Federal de Investigaciones (FBI), también contó con el respaldo de otras naciones que forman parte de los Cinco Ojos (FVEY). ) alianza de inteligencia compuesta por Australia, Canadá, Nueva Zelanda y el Reino Unido
Volt Typhoon, que también se llama Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda o Voltzite, un sigiloso grupo de ciberespionaje con sede en China que se cree que está activo desde junio de 2021.
Salió a la luz por primera vez en mayo de 2023, cuando Microsoft reveló que el equipo de piratas informáticos logró establecer un punto de apoyo persistente en organizaciones de infraestructura crítica en los EE. UU. y Guam durante períodos prolongados sin ser detectados aprovechando principalmente la vida de la tierra (muchol) técnicas.
“Este tipo de oficio, conocido como ‘vivir de la tierra’, permite a los atacantes operar discretamente, con actividades maliciosas mezclándose con el comportamiento legítimo del sistema y de la red, lo que dificulta la diferenciación, incluso para organizaciones con posturas de seguridad más maduras”, dijo el Reino Unido. Centro Nacional de Seguridad Cibernética (NCSC) dicho.
Otra táctica distintiva adoptada por Volt Typhoon es el uso de proxies de múltiples saltos como KV-botnet para enrutar el tráfico malicioso a través de una red de enrutadores y firewalls comprometidos en los EE. UU. para enmascarar sus verdaderos orígenes.
La empresa de ciberseguridad CrowdStrike, en un informe publicado en junio de 2023, destacó su dependencia de un amplio arsenal de herramientas de código abierto contra un conjunto reducido de víctimas para lograr sus objetivos estratégicos.
“Los actores de Volt Typhoon llevan a cabo un amplio reconocimiento previo a la explotación para aprender sobre la organización objetivo y su entorno; adaptan sus tácticas, técnicas y procedimientos (TTP) al entorno de la víctima; y dedican recursos continuos a mantener la persistencia y la comprensión del entorno objetivo a lo largo del tiempo. , incluso después del compromiso inicial”, señalaron las agencias.
“El grupo también depende de cuentas válidas y aprovecha una sólida seguridad operativa que, combinada, permite una persistencia no descubierta a largo plazo”.
Además, se ha observado que el Estado-nación intenta obtener credenciales de administrador dentro de la red explotando fallas de escalada de privilegios, aprovechando posteriormente el acceso elevado para facilitar el movimiento lateral, el reconocimiento y el compromiso total del dominio.
El objetivo final de la campaña es retener el acceso a los entornos comprometidos, reorientándolos “metódicamente” durante años para validar y ampliar sus accesos no autorizados. Este enfoque meticuloso, según las agencias, se evidencia en los casos en los que han extraído repetidamente credenciales de dominio para garantizar el acceso a cuentas actuales y válidas.
“Además de aprovechar las credenciales de cuentas robadas, los actores utilizan técnicas LOTL y evitan dejar artefactos de malware en los sistemas que podrían causar alertas”, dijeron CISA, FBI y NSA.
“Su fuerte enfoque en el sigilo y la seguridad operativa les permite mantener una persistencia no descubierta a largo plazo. Además, la seguridad operativa de Volt Typhoon se mejora mediante la eliminación de registros dirigida para ocultar sus acciones dentro del entorno comprometido”.
El desarrollo se produce cuando el Citizen Lab reveló una red de al menos 123 sitios web que se hacen pasar por medios de noticias locales que abarcan 30 países de Europa, Asia y América Latina y que están impulsando contenido pro-China en una campaña de influencia generalizada vinculada a una firma de relaciones públicas de Beijing llamada Shenzhen. Haimaiyunxiang Media Co., Ltd.
El organismo de control digital con sede en Toronto, que denominó la operación de influencia PAPERWALL, dijo que comparte similitudes con HaiEnergy, aunque con diferentes operadores y TTP únicos.
“Una característica central de PAPERWALL, observada en toda la red de sitios web, es la naturaleza efímera de sus componentes más agresivos, mediante los cuales los artículos que atacan a los críticos de Beijing son eliminados rutinariamente de estos sitios web algún tiempo después de su publicación”, dijo el Citizen Lab. dicho.
en un declaración compartido con Reuters, un portavoz de la embajada de China en Washington dijo que “es un sesgo típico y un doble rasero alegar que los contenidos e informes pro-China son ‘desinformación’ y llamar información verdadera a los que son anti-China'”.