La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos ha impuesto sanciones contra una empresa china de ciberseguridad y un ciberactor con sede en Shanghai por sus presuntos vínculos con el grupo Salt Typhoon y el reciente compromiso de la agencia federal.
“Los ciberactores maliciosos vinculados a la República Popular China (RPC) continúan atacando los sistemas del gobierno de EE. UU., incluido el reciente ataque a los sistemas de tecnología de la información (TI) del Tesoro, así como a la infraestructura crítica sensible de EE. UU.”, dijo el Tesoro. dicho en un comunicado de prensa.
Las sanciones están dirigidas a Yin Kecheng, quien se considera un actor cibernético durante más de una década y afiliado al Ministerio de Seguridad del Estado (MSS) de China. Kecheng, según el Tesoro, estuvo asociado con la violación de su propia red que salió a la luz a principios de este mes.
El incidente involucró un pirateo de los sistemas de BeyondTrust que permitió a los actores de amenazas infiltrarse en algunas de las instancias de Remote Support SaaS de la compañía haciendo uso de una clave API de Remote Support SaaS comprometida. La actividad se ha atribuido a un grupo de estado-nación llamado Silk Typhoon (anteriormente Hafnium), que estaba vinculado a la explotación de día cero de múltiples fallas de seguridad (también conocidas como ProxyLogon) en Microsoft Exchange Server a principios de 2021.
Según un informe reciente Según Bloomberg, los atacantes habrían irrumpido en no menos de 400 ordenadores pertenecientes al Tesoro y robado más de 3.000 archivos, incluidos documentos políticos y de viaje, organigramas, material sobre sanciones e inversión extranjera, y datos “sensibles a las fuerzas del orden”.
También ganaron acceso no autorizado a computadoras utilizado por la secretaria Janet Yellen, el subsecretario Adewale Adeyemo y el subsecretario interino Bradley T. Smith, así como material sobre investigaciones realizadas por el Comité de Inversión Extranjera en Estados Unidos, agrega el informe.
Se cree que Silk Typhoon se superpone con un grupo rastreado por Mandiant, propiedad de Google, bajo el sobrenombre de UNC5221, un actor de espionaje del nexo con China conocido por su extensa armamentización de las vulnerabilidades de día cero de Ivanti. The Hacker News se comunicó con Mandiant para obtener más comentarios y actualizaremos la historia si recibimos una respuesta.
Las sanciones también apuntan a Sichuan Juxinhe Network Technology Co., LTD., una empresa de ciberseguridad con sede en Sichuan que, según el Tesoro, estuvo directamente involucrada en una serie de ciberataques dirigidos a las principales empresas proveedoras de servicios de Internet y telecomunicaciones estadounidenses en el país.
La actividad se ha asociado con un grupo de piratería chino diferente llamado Salt Typhoon (también conocido como Earth Estries, FamousSparrow, GhostEmperor y UNC2286). Se estima que el actor de amenazas está activo desde al menos 2019.
“El MSS ha mantenido fuertes vínculos con múltiples empresas de explotación de redes informáticas, incluida Sichuan Juxinhe”, dijo el Tesoro.
Por otra parte, el programa de Recompensas por la Justicia del Departamento de Estado es ofrenda una recompensa de hasta 10 millones de dólares por información que pueda conducir a la identificación o ubicación de cualquier individuo que esté actuando bajo la dirección o bajo el control de un adversario patrocinado por un estado extranjero y participe en actividades cibernéticas maliciosas contra la infraestructura crítica de los EE. UU. en violación de la Ley de Abuso y Fraude Informático.
“El Departamento del Tesoro seguirá utilizando sus autoridades para responsabilizar a los ciberataques maliciosos que atacan al pueblo estadounidense, a nuestras empresas y al gobierno de Estados Unidos, incluidos aquellos que han atacado específicamente al Departamento del Tesoro”, dijo Adeyemo en un comunicado.
Desde entonces, los ataques a los proveedores de servicios de telecomunicaciones estadounidenses han llevado a la Comisión Federal de Comunicaciones (FCC) a asunto nuevas normas que exigen a las empresas que operan en el sector proteger sus redes contra el acceso ilegal o la interceptación de las comunicaciones. La presidenta saliente de la FCC, Jessica Rosenworcel, describió los ataques como “uno de los mayores compromisos de inteligencia jamás vistos”.
“Esa acción va acompañada de una propuesta para exigir a los proveedores de servicios de comunicaciones que presenten una certificación anual a la FCC que acredite que han creado, actualizado e implementado un plan de gestión de riesgos de ciberseguridad, que fortalecería las comunicaciones frente a futuros ataques cibernéticos”, dijo la FCC. .
A principios de esta semana, Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), dicho “El sofisticado y bien dotado programa cibernético de China representa la amenaza cibernética más grave y significativa para nuestra nación y, en particular, para la infraestructura crítica de Estados Unidos”.
del este también reveló que Salt Typhoon se detectó por primera vez en redes federales, mucho antes de que el grupo de ciberespionaje se introdujera en las redes de AT&T, Lumen Technologies, T-Mobile, Verizon y otros proveedores.
Las designaciones son sólo las últimas de una larga lista de medidas tomadas por el Tesoro en un intento por combatir la actividad cibernética maliciosa de los actores de amenazas chinos. Anteriormente la agencia había sancionado a otras tres empresas: Integrity Technology Group (Flax Typhoon), Sichuan Silence Information Technology (Pacific Rim) y Wuhan Xiaoruizhi Science and Technology Company (APT31).
About the Author
