Hackers chinos ‘patrocinados por el estado’ han comprometido infraestructura crítica de EE. UU., según Microsoft, NSA y CISA
Microsoft anunció que ha descubierto evidencia de que un grupo de piratería operado por el régimen comunista chino ha comprometido «organizaciones de infraestructura crítica en los Estados Unidos».
Un mensaje del 24 de mayo emitido directamente en el blog de seguridad de Microsoft señala con el dedo a un grupo llamado Volt Typhoon, descrito como «un actor patrocinado por el estado con sede en China que generalmente se enfoca en el espionaje y la recopilación de información».
MÁS SOBRE OPERACIONES DE HACKEO DEL PARTIDO COMUNISTA CHINO
- Advierten que el hardware crítico de la red eléctrica de EE.UU. es vulnerable a los ataques de hackers
- Afirman que que hackers chinos vinculados al Partido Comunista atacaron a decenas de organizaciones
La compañía emitió una fuerte advertencia de que Volt Typhoon está «buscando el desarrollo de capacidades que podrían interrumpir la infraestructura de comunicaciones crítica entre los Estados Unidos y la región de Asia durante futuras crisis».
Microsoft declaró que la empresa tiene una «confianza moderada» en su evaluación de la situación.
Un informe de Reuters sobre el asunto indicó que la Embajada de la República Popular China (RPC) en Washington no respondió a una solicitud de comentarios después de los boletines de Microsoft.
Reuters citó a John Hultquist de Mandiant Intelligence de Google explicando que la descripción del «desarrollo continuo» de Volt Typhoon probablemente «significa que se están preparando para esa posibilidad».
“Hay mayor interés en este actor por la situación geopolítica”, afirmó Hultquist.
Las acusaciones son alarmantes en el sentido de que Microsoft dice que las siguientes industrias han sido atacadas por Volt Typhoon, y agrega que ha estado trabajando en objetivos tanto en Guam como en los EE. UU. desde 2021:
- Fabricación
- Comunicaciones
- Utilidad
- Transporte
- Construcción
- Marítimo
- Gobierno
- Tecnologías de la información
- Sectores Educativos
La alerta enmarca a Volt Typhoon como un actor de amenazas particularmente sofisticado en el sentido de que se basa en técnicas sigilosas para adquirir credenciales de usuario que se utilizan para recopilar datos manualmente mientras enruta el tráfico a través de una red de bots de equipos de red de oficinas domésticas y pequeñas comprometidas, como enrutadores inalámbricos fabricados por compañías como D-Link, Asus y Cisco.
Las acusaciones de Microsoft están respaldadas por un Aviso Conjunto de Ciberseguridad (JCA) del 24 de mayo de agencias federales de EE. UU. como la NSA y CISA y agencias de seguridad de otras agencias del grupo de inteligencia Five Eyes en Canadá, Australia, Nueva Zelanda y el Reino Unido publicado en el Web del Pentágono.
El JCA es un documento técnico de 24 páginas que explica en profundidad una letanía de métodos empleados por Volt Typhoon en su campaña, explotando docenas de lagunas encontradas en paquetes de software de uso común nativos de la mayoría de las computadoras en un enfoque llamado «Living Off The Land».
Fortinet FortiGuard
Microsoft explica que el vector de ataque inicial de Volt Typhoon es obtener «acceso a organizaciones objetivo a través de dispositivos Fortinet FortiGuard con acceso a Internet».
El sitio web de la plataforma Fortiguard de la empresa Fortinet afirma que fue «cofundador del Centro de Ciberseguridad del Foro Económico Mundial creado en 2018».
Fortinet es una organización oficial que figura en el sitio web del Foro Económico Mundial (WEF), que afirma que «Más de 635.000 clientes confían en Fortinet para proteger sus negocios».
Un artículo publicado en el sitio web del WEF en abril, escrito por Rob Rashotte, Vicepresidente de Capacitación Global y Habilitación de Campo Técnico de Fortinet, señaló las preocupaciones de seguridad cibernética al mercado en general al afirmar que “la actividad del delito cibernético no muestra signos de desaceleración, con el 65% de organizaciones que esperan que la cantidad de ataques cibernéticos aumente en los próximos 12 meses”.
Rashotte agregó: “El 86% de los líderes empresariales y el 93% de los líderes de seguridad creen que la inestabilidad geopolítica global probablemente conducirá a un evento cibernético catastrófico en los próximos dos años”.
En última instancia, los exploits de Volt Typhoon pueden obtener credenciales auténticas del sistema del usuario, lo que permite a los piratas informáticos del PCCh acceder a los sistemas como si fueran un usuario normal y pueden volcar los datos procesados a través de los navegadores web.
Un informe del 24 de mayo sobre el evento de The New York Times decidió centrarse en el aspecto de los ataques que afectaron a Guam, en lugar de a Estados Unidos, planteando si Taiwán es el objetivo real sobre la base de que Guam “sería una pieza central de cualquier Respuesta militar estadounidense a una invasión o bloqueo de Taiwán”.
No obstante, The Times reveló que tanto Microsoft como las «agencias de inteligencia estadounidenses» se dieron cuenta de las hazañas de Volt Typhoon en febrero, casi al mismo tiempo que Internet se distrajo con el falso escándalo del globo espía chino.
The New York Times agregó entrevistas con funcionarios anónimos de la administración de Biden que “dijeron que creían que el código era parte de un vasto esfuerzo de recopilación de inteligencia china que abarca el ciberespacio, el espacio exterior y, como descubrieron los estadounidenses con el incidente del globo, la atmósfera inferior”.
El artículo agregó que Tom Burt, un ejecutivo de Microsoft, le dijo directamente al Times que las vulnerabilidades de Volt Typhoon se descubrieron “mientras investigaba la actividad de intrusión que afectaba un puerto de EE. UU.”.
Al rastrear los ataques, Microsoft descubrió que otras redes afectadas incluían «algunas en el sector de las telecomunicaciones en Guam», afirmó Burt.
Se citó a la asesora adjunta de seguridad nacional de la administración de Biden, Anne Neuberger, quien enfatizó “la urgencia de utilizar proveedores confiables”, que The Times describió como compañías “cuyo equipo ha cumplido con los estándares de ciberseguridad establecidos”.