Así son Volt Typhoon, ciberdelincuentes chinos acusados de espionaje a EEUU y Occidente
La tensión entre EEUU y China se ha incrementado en las últimas horas a partir de que la administración Biden y sus aliados occidentales acusasen a un grupo de amenazas chino, respaldado por el gobierno de Pekín, de infiltrarse en las redes de infraestructuras críticas estadounidenses. Estas graves acusaciones han sido vistas por China como una campaña de desinformación global.
El grupo en cuestión que estaría tras estos nuevos ataques sería Volt Typhoon, que según las acusaciones de Microsoft y de EEUU estaría respaldando a China. La teoría cobra peso, pues los sistemas que se vieron comprometidos operan en Guam, zona del Pacífico Occidental donde EEUU mantiene una base clave en su apoyo incondicional a Taiwán.
Por su parte, Microsoft señala que esa actividad maliciosa sigilosa y selectiva llevada a cabo por Volt Tryphoon se ha realizado solo por cuestiones de espionaje, aunque no descartan que pudieran generar sabotajes e interrumpir drásticamente las infraestructuras de comunicaciones críticas entre EEUU y Taiwán.
Por su parte, las autoridades de ciberseguridad de Canadá, Reino Unido, Australia y Nueva Zelanda se han unido a la de EEUU para advertir sobre las alertas emergentes de Volt Typhoon, que del país norteamericano se podrían extender a aliados de todo el mundo.
La respuesta china no tardó en llegar. Mao Ning, portavoz del ministerio chino de Relaciones Exteriores aseguró que todo parte de una campaña colectiva de desinformación de los países que forman la coalición Five Eyes, impulsada por EEUU con fines estrictamente geopolíticos. Todos esos países que constituyen el conglomerado han tenido diferencias con China en algún momento histórico.
A pesar de todo, China no puede negar que durante la última década los investigadores occidentales han detectado infracciones relacionadas con unidades específicas dentro del Ejército Popular de Liberación. En aquellas ocasiones, las fuerzas del orden estadounidenses han acusado a oficiales chinos de robar secretos de estado.
La metodología de Volt Typhoon
Activo desde 2021, su objetivo siempre ha sido atacar a las infraestructuras críticas de Guam y de aliados de EEUU. En esta ocasión, los afectados han sido los servicios de comunicaciones, servicios públicos, transporte, construcción, gobierno, fabricación, marítimo y tecnología de la información y de la educación. Todo ello de una forma ágil y veloz que le permite no ser detectado.
Los miembros de Volt Typhoon emplean técnicas muy difíciles de detectar, comandos que les permiten recopilar datos como credenciales de sistemas locales y de red. Posteriormente almacenan todos esos datos en un archivo y emplean las credenciales robadas para emprender el ciberataque.
Volt Typhoon emplea archivos binarios preinstalados, incorpora técnicas de evasión de defensa y se gana la confianza en la infraestructura comprometida para sobrepasar la detección y atribución de su actividad de intrusión y mezclarse así con la actividad de red legítima.
Volt Typhoon se camufla en la actividad normal de la red enrutando el tráfico de datos mediante equipos de oficinas domésticas (SOHO), entre ellos, enrutadores, cortafuegos y hardware VPN (redes privadas y virtuales).
Antecedentes de Volt Typhoon
Si nos remontamos a junio de 2021, recordaremos que el equipo de investigadores de Secureworks detectó que este grupo había obtenido acceso al entorno Citrix de factor único de la organización comprometida mediante una cuenta de administrador de dominio. Se movió a otro servidor web y soltó un Shell web simple basado en Java (AuditReport.jspx). Los actores de amenazas ejecutaban comandos de reconocimientos gracias a la ayuda de Shell web.
También en septiembre de 2021 los actores obtuvieron acceso inicial al explotar una vulnerabilidad en un servidor ManageEngine ADSelfService Plus orientado a Internet, implementando un Shell web.
Un futuro preocupante
A raíz de la tensión geopolítica entre Rusia y Ucrania se ha visto como casi todos los países cuentan con piratas informáticos para recopilar información, destacando los rusos y estadounidenses bautizados por los expertos de seguridad cibernética como ‘Fancy Bear’ o ‘Equation Group’.
Volt Typhoon, o también conocido como Bronze Silhouette, podría evolucionar de sus fines de espionaje y de obtención de datos relacionados con el ejército y el gobierno de EEUU a otros daños más preocupantes. En este sentido, Cisco Systems ha apuntado que el grupo chino está preparando algo peligroso, después de que la compañía haya tenido que solventar una instalación de infraestructura crítica.
La entrada Así son Volt Typhoon, ciberdelincuentes chinos acusados de espionaje a EEUU y Occidente es original de MuySeguridad. Seguridad informática.
Powered by WPeMatico