El gobierno de Estados Unidos ha anunciado que el grupo chino de ciberespionaje patrocinado por el estado, Volt Typhoon, ha estado infiltrado en algunas redes críticas de infraestructura del país durante al menos cinco años. Este grupo secreto de espionaje cibernético se enfoca en los sectores de energía, transporte, comunicaciones, agua y sistemas de aguas residuales en EE. UU. y Guam. Volt Typhoon, también conocido como Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda o Voltzite, es un grupo sigiloso de espionaje cibernético con sede en China que se cree que está activo desde junio de 2021.
El patrón de comportamiento del grupo es diferente al de las operaciones de espionaje cibernético o de recopilación de inteligencia tradicionales, y las agencias de EE. UU. evalúan con alta confianza que los actores de Volt Typhoon se están preparando para interrumpir funciones al posicionarse en redes de tecnología de la información y permitir el movimiento lateral a activos de tecnología operativa. Esta alerta fue emitida conjuntamente por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Agencia de Seguridad Nacional (NSA) y el Buró Federal de Investigaciones (FBI), y respaldada por otros países que forman parte de la alianza de inteligencia Five Eyes (FVEY).
El grupo de ciberespionaje utiliza técnicas de «vivir fuera del terreno» para operar discretamente y comprometer las organizaciones de infraestructura crítica sin ser detectado. Además, también utilizan proxies multi salto como KV-botnet para enrutar tráfico malicioso a través de una red de routers y firewalls comprometidos en los Estados Unidos para ocultar sus verdaderos orígenes.
La firma de ciberseguridad CrowdStrike informó que este grupo depende de un extenso arsenal de herramientas de código abierto contra un conjunto limitado de víctimas para lograr sus objetivos estratégicos. El grupo también se basa en cuentas válidas y aprovecha la seguridad operacional para obtener credenciales de administradores dentro de la red, facilitar el movimiento lateral, la vigilancia y la compromiso de todo el dominio.
El objetivo final de la campaña es mantener el acceso a los entornos comprometidos durante años y validar y ampliar sus accesos no autorizados. Además, la seguridad operativa de Volt Typhoon se mejora a través de la eliminación dirigida de registros para ocultar sus acciones dentro del entorno comprometido. Este anuncio se produce después de que Citizen Lab revelara una amplia campaña de influencia, enlazada a una firma de relaciones públicas de Beijing llamada Shenzhen Haimaiyunxiang Media Co., Ltd. El grupo de vigilancia digital con sede en Toronto, denominado PAPERWALL, dijo que comparte similitudes con HaiEnergy, aunque con diferentes operadores y TTP únicas. Esperamos que esta información sea útil para mejorar la comprensión del riesgo de ciberseguridad y la necesidad de proteger mejor las redes críticas.
Vía The Hacker News
