Infiltración | Seguridad

Grupo de hackers chinos infiltrados en infraestructura crítica de EE.UU

Ciberataques chinos amenazan la infraestructura crítica de Estados Unidos

Un grupo de hackers respaldado por China ha mantenido acceso a la infraestructura crítica estadounidense durante al menos cinco años, con el objetivo a largo plazo de lanzar ciberataques "destructivos", advirtieron el miércoles una coalición de agencias de inteligencia de Estados Unidos.

El grupo Volt Typhoon se infiltra en la infraestructura crítica

El grupo de hackers estatal Volt Typhoon, con respaldo de China, se ha infiltrado en las redes de organizaciones de aviación, ferrocarriles, transporte masivo, carreteras, marítimas, tuberías, agua y alcantarillado, en un intento de posicionarse para futuros ciberataques destructivos, según la NSA, CISA y el FBI en un aviso conjunto publicado el miércoles.

Este hecho marca un "cambio estratégico" en las operaciones tradicionales de ciberespionaje o recopilación de inteligencia respaldadas por China, ya que ahora se están preparando para interrumpir la tecnología operativa en caso de un conflicto o crisis importante.

Advertencia conjunta de inteligencia global

El aviso fue firmado conjuntamente por agencias de ciberseguridad del Reino Unido, Australia, Canadá y Nueva Zelanda. Esta advertencia llega una semana después de una advertencia similar del director del FBI, Christopher Wray, durante una audiencia del Comité de la Cámara de Representantes de Estados Unidos sobre las amenazas cibernéticas planteadas por China. Wray describió a Volt Typhoon como "la amenaza definitoria de nuestra generación" y dijo que el objetivo del grupo es "interferir en la capacidad de movilización de nuestro ejército" en las primeras etapas de un conflicto anticipado sobre Taiwán, que China reclama como su territorio.

Explotación de vulnerabilidades y acceso a largo plazo

Según el aviso técnico del miércoles, Volt Typhoon ha estado explotando vulnerabilidades en enrutadores, firewalls y redes privadas virtuales (VPN) para obtener acceso inicial a la infraestructura crítica en todo el país. Los hackers respaldados por China generalmente utilizan credenciales de administrador robadas para mantener el acceso a estos sistemas, y en algunos casos, han mantenido el acceso durante "al menos cinco años".

Este acceso ha permitido a los hackers respaldados por el estado llevar a cabo posibles interrupciones, como "manipular sistemas de calefacción, ventilación y aire acondicionado (HVAC) en salas de servidores o interrumpir los controles críticos de energía y agua, lo que lleva a fallas significativas en la infraestructura", advierte el aviso. En algunos casos, los hackers de Volt Typhoon tenían la capacidad de acceder a los sistemas de vigilancia de cámaras en instalaciones de infraestructura crítica, aunque no está claro si lo hicieron.

Técnicas de persistencia y reconocimiento

Volt Typhoon también utiliza técnicas de "vivir de la tierra", mediante las cuales los atacantes utilizan herramientas y características legítimas ya presentes en el sistema objetivo, para mantener una persistencia a largo plazo sin ser descubiertos. Los hackers también realizan un "reconocimiento extenso previo al compromiso" para evitar la detección. Según el aviso, "por ejemplo, en algunos casos, los actores de Volt Typhoon pueden haberse abstenido de usar credenciales comprometidas fuera del horario laboral normal para evitar activar alertas de seguridad por actividades de cuenta anormales".

Otras amenazas respaldadas por China

En una llamada el miércoles, altos funcionarios de las agencias de inteligencia de Estados Unidos advirtieron que Volt Typhoon "no es el único actor cibernético respaldado por China que lleva a cabo este tipo de actividad", pero no revelaron los nombres de los otros grupos que habían estado rastreando.

La semana pasada, el FBI y el Departamento de Justicia de Estados Unidos anunciaron que habían interrumpido la operación de hacking "KV Botnet" dirigida por Volt Typhoon, que había comprometido cientos de enrutadores en Estados Unidos utilizados por pequeñas empresas y oficinas en el hogar. El FBI dijo que logró eliminar el malware de los enrutadores secuestrados y cortar su conexión con los hackers respaldados por el estado chino.

Según un informe de mayo de 2023 publicado por Microsoft, Volt Typhoon ha estado apuntando y violando la infraestructura crítica de Estados Unidos desde al menos mediados de 2021.


Podcast El Desván de las Paradojas
Publicidad


Otras noticias • Seguridad

Ciberseguridad

CISA advierte sobre ataques de phishing tras incidente en CrowdStrike

Tras un incidente en CrowdStrike, CISA advierte sobre ataques de phishing. Se recomienda no hacer clic en enlaces sospechosos. Los actores malintencionados están aprovechando la...

Inconveniente

Interrupción de CrowdStrike causa retrasos y estrés en viajeros

Los retrasos en los vuelos, como el causado por la interrupción de CrowdStrike, afectan a los viajeros con estrés, frustración y cambios en los planes...

Validación

Verificar información en línea es clave para evitar desinformación y pánico

Durante crisis globales, como la reciente falla de CrowdStrike y la falsa imagen de la Sphere en Las Vegas, es crucial verificar la información en...

Protección

Empresas tecnológicas deben priorizar seguridad cibernética para proteger datos sensibles

La seguridad cibernética es crucial para las empresas de tecnología, como demostró la reciente vulnerabilidad en la aplicación web de a16z. Es fundamental corregir errores...

Compra

Alphabet cerca de adquirir startup de ciberseguridad Wiz por $23 mil millones

Alphabet, empresa matriz de Google, está en negociaciones avanzadas para adquirir Wiz, una startup de ciberseguridad, por $23 mil millones. Wiz ha experimentado un impresionante...

Advertencia

Apple advierte sobre ataques de espionaje a usuarios de iPhone

Apple ha emitido una nueva advertencia a usuarios de iPhone en 98 países sobre posibles ataques de espionaje mercenario. Esta es la segunda campaña de...

Problema

Notificaciones de brechas de seguridad de Microsoft generan confusión y críticas

Microsoft ha recibido críticas por la forma en que ha enviado notificaciones de brechas de seguridad a sus clientes afectados, con correos electrónicos que parecen...

Censura

Apple elimina aplicaciones VPN de App Store por petición rusa

Apple ha eliminado aplicaciones VPN de su App Store en Rusia a petición del gobierno, citando violaciones de la ley rusa. Esta acción se suma...