Investigadores de seguridad de Microsoft descubrieron una campaña maliciosa sigilosa y selectiva centrada en el acceso a credenciales tras la vulneración y el descubrimiento de sistemas de red dirigida a organizaciones de infraestructuras críticas en EEUU.
El Político
El ataque lo lleva a cabo Volt Typhoon, un actor patrocinado por el Estado con sede en China que normalmente se centra en el espionaje y la recopilación de información.
Contenidos relacionados
Microsoft advirtió que las organizaciones afectadas abarcaban casi todos los sectores de infraestructura crítica, incluidos los sectores de "comunicaciones, fabricación, servicios públicos, transporte, construcción, marítimo, gobierno, tecnología de la información y educación".
El gigante tecnológico instó a los clientes afectados a "cerrar o cambiar las credenciales de todas las cuentas comprometidas".
Además, los investigadores de Microsoft describieron los ataques de 2023 como una de las mayores campañas conocidas de ciberespionaje chino contra infraestructuras críticas estadounidenses.
Panorama general
La operación de pirateo, cuyo nombre en clave es "Volt Typhoon", lleva activa desde mediados de 2021 y "podría interrumpir infraestructuras críticas de comunicaciones entre EEUU y la región asiática durante futuras crisis".
Microsoft no ha detectado ningún ataque ofensivo, pero señaló que los hackers militares y de los servicios de inteligencia chinos suelen dar prioridad al espionaje y a la recopilación de información, más que a la destrucción.
Las fuerzas del orden y los servicios de inteligencia federales de EEUU, entre ellos el FBI, la NSA y CISA, publicaron el miércoles un boletín en el que describen el manual de operaciones de Volt Typhoon, así como una hoja de ruta de código que permite a las posibles víctimas detectar al intruso.
¿Por qué es importante?
Guam alberga tres bases militares estadounidenses. La isla del Pacífico occidental desempeñaría un importante papel estratégico en caso de que EEUU tuviera que responder a un posible ataque militar chino o al bloqueo de Taiwán, reportó Axios.
El objetivo probable de la operación es "interrumpir la infraestructura de comunicaciones críticas entre EEUU Unidos y la región asiática durante futuras crisis", según un blog publicado el miércoles por Microsoft, que detectó el pirateo.
Guam es una isla situada en el archipiélago de las islas Marianas (Pacífico occidental), que políticamente es uno de los catorce territorios no incorporados de Estados Unidos.
Es uno de los 17 territorios no autónomos bajo supervisión del Comité de Descolonización de las Naciones Unidas, con el fin de eliminar el colonialismo.
Impulsores de la noticia
La CISA emitió un aviso conjunto con sus agencias asociadas de los "Cinco Ojos" del Reino Unido, Canadá, Australia y Nueva Zelanda en el que advertía de que los hackers de "Volt Typhoon" suponían una amenaza para los cinco países aliados a raíz de un "grupo de actividad descubierto recientemente".
Las agencias de inteligencia de EEUU descubrieron el malware por primera vez en febrero, aproximadamente al mismo tiempo que EEUU. derribó un globo espía chino , informó por primera vez el New York Times.
Según los informes, la actividad del grupo de piratería patrocinado por China alarmó a los funcionarios estadounidenses, dada su proximidad a la Base de la Fuerza Aérea Andersen.
China niega las acusaciones
China negó el jueves la última acusación de pirateo informático, calificándola de campaña de desinformación de las naciones de los "Cinco Ojos" que comparten inteligencia, según la agencia de noticias Reuters.
Por su parte, la Casa Blanca ha establecido apresuradamente estándares de ciberseguridad para la infraestructura crítica después de elevar los ataques de ransomware , como la ofensiva de 2021 vinculada a Rusia en Colonial Pipeline, a un problema de seguridad nacional.
En contexto
Las agencias de inteligencia estadounidenses descubrieron por primera vez el malware en febrero, casi al mismo tiempo que EEUU derribó un globo espía chino, según informó por primera vez el New York Times.
Al parecer, la actividad del grupo de piratas informáticos patrocinado por China alarmó a las autoridades estadounidenses, dada su proximidad a la base aérea de Andersen.
Las intrusiones parecían, por ahora, ser una campaña de espionaje. Pero los chinos podrían usar el código, que está diseñado para perforar los cortafuegos, para permitir ataques destructivos, si así lo desean.
Una vez que Volt Typhoon obtiene acceso a una red, roba las credenciales de los usuarios para poder acceder a otros sistemas informáticos, según Microsoft.
"El comportamiento observado sugiere que el actor de amenazas tiene la intención de realizar espionaje y mantener el acceso sin ser detectado durante el mayor tiempo posible", señalaron los investigadores de seguridad de Microsoft en el blog del miércoles.
En conclusión
El Centro Australiano de Ciberseguridad de la Dirección de Señales de Australia señaló que una estrategia clave de Volt Typhoon, conocida como "vivir de la tierra", utilizaba "herramientas integradas de administración de redes para llevar a cabo sus objetivos", lo que permitía al grupo "eludir la detección mezclándose con las actividades normales del sistema Windows y de la red".
El Partido Comunista Chino ha estado vinculado a anteriores ataques informáticos dirigidos contra el gobierno, empresas e infraestructuras estadounidenses, pero siempre ha negado estar implicado en este tipo de ciberespionaje.
En ese contexto, Jen Easterly, director de CISA, declaró que "el aviso de hoy pone de relieve el uso continuado por parte de China de medios sofisticados para atacar las infraestructuras críticas de nuestro país, y ofrece a los defensores de las redes información importante sobre cómo detectar y mitigar esta actividad maliciosa".
