Los ataques del actor de amenazas vinculado a China Volt Typhoon contra organizaciones de infraestructura crítica de Estados Unidos han alarmado a los funcionarios de inteligencia estadounidenses, dice Reuters.
El gobierno de EE. UU., en colaboración con partes interesadas del sector privado, ha estado trabajando silenciosamente para interrumpir la infraestructura de ataque de “Volt Typhoon”,.
Un peligroso grupo de amenazas vinculado a China asociado con numerosos ataques dirigidos a infraestructura crítica de EE. UU. desde al menos mediados de 2021.
Reuters, citando múltiples fuentes anónimas, informó el 30 de enero que la actividad implicaba intentos de Estados Unidos de desactivar de forma remota aspectos de la operación china durante los últimos meses.
El Departamento de Justicia de Estados Unidos y el FBI están encabezando el esfuerzo después de buscar y obtener autorización legal, según Reuters.
Interrupción remota
Los esfuerzos de interrupción surgen de la creciente ansiedad dentro de la comunidad de inteligencia de EE. UU. sobre la actividad generalizada de piratería informática (incluido el ransomware) por parte de grupos vinculados a China en general y Volt Typhoon en particular.
Volt Typhoon ha alarmado a los funcionarios de inteligencia que dicen que es parte de un esfuerzo mayor para comprometer la infraestructura crítica occidental, incluidos los puertos navales, los proveedores de servicios de Internet y servicios públicos.
La gran preocupación es las bases para capacidades que permitirían a China alterar las capacidades en la región del Indo-Pacífico que apoyan o prestan servicios a las operaciones militares estadounidenses en el área.
Fuentes y Microsoft
“Las fuentes dijeron que los funcionarios estadounidenses están preocupados de que los piratas informáticos estuvieran trabajando para perjudicar la preparación de Estados Unidos en caso de una invasión china de Taiwán”, dijo Reuters.
Microsoft, concluyó que el objetivo del actor de amenazas es desarrollar capacidades que le permitirían interrumpir la infraestructura de comunicaciones entre los EE. UU. y la región asiática durante una futura crisis.
Entre las víctimas del grupo se incluyen organizaciones de los sectores de comunicaciones, transporte, marítimo, gubernamental, de servicios públicos y de tecnología de la información.
Microsoft ha descrito que Volt Typhoon pone un fuerte énfasis en el sigilo al, por ejemplo, utilizar casi exclusivamente herramientas legítimas, técnicas de subsistencia y actividad práctica con el teclado en sus ataques.
El grupo también ha intentado a menudo combinar su presencia maliciosa con la actividad normal de la red mediante el uso de dispositivos de red de pequeñas oficinas y oficinas domésticas (SOHO) comprometidos para enrutar su tráfico.
“El comportamiento observado sugiere que el actor de la amenaza tiene la intención de realizar espionaje y mantener el acceso sin ser detectado durante el mayor tiempo posible”, dijo Microsoft.
Investigaciones
En diciembre de 2023, los investigadores de Lumen identificaron a Volt Typhoon como uno de varios grupos de amenazas chinos que utilizaban una gran botnet SOHO, denominada KV-Botnet, como infraestructura de comando y control (C2) en ataques contra objetivos de alto valor.
Lumen evaluó la botnet, compuesta en gran parte por enrutadores Cisco, DrayTek y Netgear, como algo que Volt Typhoon probablemente utilizó en ataques contra un proveedor de servicios de Internet, dos empresas de telecomunicaciones y una agencia del gobierno estadounidense en Guam.
Más recientemente, SecurityScorecard informó haber observado a Volt Typhoon intentando comprometer los enrutadores Cisco RV320 al final de su vida útil y hacerlos parte de su creciente botnet C2.
Como parte de la campaña, los investigadores de SecurityScorecard observaron que Volt Typhoon lanzaba un shell web hasta ahora desconocido (y aún no analizado) denominado fy.sh en sistemas comprometidos.
Según Reuters, el gobierno de EE. UU. ha pedido ayuda a varias empresas anónimas de computación en la nube, empresas de telecomunicaciones y empresas de tecnología privadas para rastrear y acabar con la actividad del Volt Typhoon.
Funcionarios de la Casa Blanca se han reunido con líderes de organizaciones interesadas del sector privado, dijo Reuters, para discutir planes para interrumpir las actividades del Volt Typhoon.
También te puede interesar leer: Navegación segura mejorada de Google: qué es y cómo activarla para evitar estafas y phishing en Gmail, Chrome o Chats