El Centro Nacional de Respuesta a Emergencias contra Virus Informáticos (CVERC) de China ha redoblado sus afirmaciones de que el actor de amenazas conocido como el tifón voltio Es una invención de Estados Unidos y sus aliados.
La agencia, en colaboración con el Laboratorio Nacional de Ingeniería para Tecnología de Prevención de Virus Informáticos, acusó al gobierno federal de EE. UU., a las agencias de inteligencia y a los países de Five Eyes de realizar actividades de ciberespionaje contra China, Francia, Alemania, Japón y usuarios de Internet en todo el mundo. .
También dijo que hay “pruebas irrefutables” que indican que Estados Unidos lleva a cabo operaciones de bandera falsa en un intento de ocultar sus propios ataques cibernéticos maliciosos, añadiendo que está inventando el “llamado peligro de ataques cibernéticos chinos” y que ha establecido una “gran red global de vigilancia de Internet a gran escala.”
“Y el hecho de que Estados Unidos haya adoptado ataques a la cadena de suministro, implantado puertas traseras en productos de Internet y ‘preposicionado’ ha desacreditado completamente el Volt Typhoon, una farsa política escrita, dirigida y actuada por el gobierno federal de Estados Unidos”, afirma. dicho.
“La base militar estadounidense en Guam no ha sido en absoluto víctima de los ciberataques Volt Typhoon, sino el iniciador de un gran número de ciberataques contra China y muchos países del Sudeste Asiático y el centro de retorno de datos robados”.
Vale la pena señalar que un informe anterior publicado por CVERC en julio caracterizado el Volt Typhoon como campaña de desinformación orquestado por las agencias de inteligencia estadounidenses.
Volt Typhoon es el apodo asignado a un grupo de ciberespionaje del nexo con China que se cree que está activo desde 2019, incrustándose sigilosamente en redes de infraestructura crítica enrutando el tráfico a través de dispositivos periféricos que comprometen enrutadores, firewalls y hardware VPN en un esfuerzo por integrarse y volar bajo el radar.
A finales de agosto de 2024, se vinculó a la explotación de día cero de una falla de seguridad de alta gravedad que afectaba a Versa Director (CVE-2024-39717, puntuación CVSS: 6,6) para entregar un shell web llamado VersaMem para facilitar el robo de credenciales y ejecutar código arbitrario.
El uso de dispositivos de borde por parte de grupos de intrusión vinculados a China se ha convertido en una especie de patrón en los últimos años, y algunas campañas los aprovechan como cajas de retransmisión operativas (ORB) para evadir la detección.
Esto está respaldado por un informe reciente publicado por la empresa francesa de ciberseguridad Sekoia, que atribuyó a los actores de amenazas probablemente de origen chino a una campaña de ataque de amplio alcance que infecta dispositivos periféricos como enrutadores y cámaras para implementar puertas traseras como GobRAT y Bulbature para ataques posteriores. contra objetivos de interés.
“Bulbature, un implante que aún no ha sido documentado en código abierto, parece usarse sólo para transformar el dispositivo periférico comprometido en un ORB para transmitir ataques contra las redes de las víctimas finales”, afirman los investigadores. dicho.
“Esta arquitectura, que consiste en dispositivos periféricos comprometidos que actúan como ORB, permite a un operador llevar a cabo operaciones cibernéticas ofensivas en todo el mundo cerca de los objetivos finales y ocultar su ubicación mediante la creación de túneles proxy bajo demanda”.
En el último documento de 59 páginas, las autoridades chinas dijeron que más de 50 expertos en seguridad de Estados Unidos, Europa y Asia se acercaron al CVERC, expresando preocupaciones relacionadas con “la falsa narrativa de Estados Unidos” sobre el tifón Volt y la falta de evidencia que vincule el actor de amenaza para China.
La CVERC, sin embargo, no nombró a esos expertos ni sus razones para respaldar la hipótesis. Continuó afirmando que las agencias de inteligencia estadounidenses crearon un conjunto de herramientas sigiloso denominado Marble a más tardar en 2015 con la intención de confundir los esfuerzos de atribución.
“El conjunto de herramientas es un marco de herramientas que puede integrarse con otros proyectos de desarrollo de armas cibernéticas para ayudar a los desarrolladores de armas cibernéticas a ofuscar varias características identificables en el código del programa, ‘borrando’ efectivamente las ‘huellas dactilares’ de los desarrolladores de armas cibernéticas”, dijo.
“Es más, el marco tiene una función más ‘descarada’ al insertar cadenas en otros idiomas, como chino, ruso, coreano, persa y árabe, lo que obviamente tiene como objetivo engañar a los investigadores e incriminar a China, Rusia, Corea del Norte, Irán. y los países árabes.”
El informe aprovecha además la oportunidad para acusar a Estados Unidos de confiar en sus “ventajas tecnológicas innatas y ventajas geológicas en la construcción de Internet” para controlar los cables de fibra óptica a través del Atlántico y el Pacífico y utilizarlos para un “monitoreo indiscriminado” de los usuarios de Internet. mundial.
También alegó que empresas como Microsoft y CrowdStrike han recurrido a dar apodos “absurdos” con “connotaciones geopolíticas obvias” para grupos de actividades de amenazas con nombres como “tifón”, “panda” y “dragón”.
“Una vez más queremos pedir una amplia colaboración internacional en este ámbito”, concluyó. “Además, las empresas de ciberseguridad y las instituciones de investigación deberían centrarse en la investigación de tecnologías contra las ciberamenazas y en mejores productos y servicios para los usuarios”.