Grupo de hackers chinos infiltrados en infraestructura crítica de EE.UU

Ciberataques chinos amenazan la infraestructura crítica de Estados Unidos

Un grupo de hackers respaldado por China ha mantenido acceso a la infraestructura crítica estadounidense durante al menos cinco años, con el objetivo a largo plazo de lanzar ciberataques "destructivos", advirtieron el miércoles una coalición de agencias de inteligencia de Estados Unidos.

El grupo Volt Typhoon se infiltra en la infraestructura crítica

El grupo de hackers estatal Volt Typhoon, con respaldo de China, se ha infiltrado en las redes de organizaciones de aviación, ferrocarriles, transporte masivo, carreteras, marítimas, tuberías, agua y alcantarillado, en un intento de posicionarse para futuros ciberataques destructivos, según la NSA, CISA y el FBI en un aviso conjunto publicado el miércoles.

Este hecho marca un "cambio estratégico" en las operaciones tradicionales de ciberespionaje o recopilación de inteligencia respaldadas por China, ya que ahora se están preparando para interrumpir la tecnología operativa en caso de un conflicto o crisis importante.

Advertencia conjunta de inteligencia global

El aviso fue firmado conjuntamente por agencias de ciberseguridad del Reino Unido, Australia, Canadá y Nueva Zelanda. Esta advertencia llega una semana después de una advertencia similar del director del FBI, Christopher Wray, durante una audiencia del Comité de la Cámara de Representantes de Estados Unidos sobre las amenazas cibernéticas planteadas por China. Wray describió a Volt Typhoon como "la amenaza definitoria de nuestra generación" y dijo que el objetivo del grupo es "interferir en la capacidad de movilización de nuestro ejército" en las primeras etapas de un conflicto anticipado sobre Taiwán, que China reclama como su territorio.

Explotación de vulnerabilidades y acceso a largo plazo

Según el aviso técnico del miércoles, Volt Typhoon ha estado explotando vulnerabilidades en enrutadores, firewalls y redes privadas virtuales (VPN) para obtener acceso inicial a la infraestructura crítica en todo el país. Los hackers respaldados por China generalmente utilizan credenciales de administrador robadas para mantener el acceso a estos sistemas, y en algunos casos, han mantenido el acceso durante "al menos cinco años".

Este acceso ha permitido a los hackers respaldados por el estado llevar a cabo posibles interrupciones, como "manipular sistemas de calefacción, ventilación y aire acondicionado (HVAC) en salas de servidores o interrumpir los controles críticos de energía y agua, lo que lleva a fallas significativas en la infraestructura", advierte el aviso. En algunos casos, los hackers de Volt Typhoon tenían la capacidad de acceder a los sistemas de vigilancia de cámaras en instalaciones de infraestructura crítica, aunque no está claro si lo hicieron.

Técnicas de persistencia y reconocimiento

Volt Typhoon también utiliza técnicas de "vivir de la tierra", mediante las cuales los atacantes utilizan herramientas y características legítimas ya presentes en el sistema objetivo, para mantener una persistencia a largo plazo sin ser descubiertos. Los hackers también realizan un "reconocimiento extenso previo al compromiso" para evitar la detección. Según el aviso, "por ejemplo, en algunos casos, los actores de Volt Typhoon pueden haberse abstenido de usar credenciales comprometidas fuera del horario laboral normal para evitar activar alertas de seguridad por actividades de cuenta anormales".

Otras amenazas respaldadas por China

En una llamada el miércoles, altos funcionarios de las agencias de inteligencia de Estados Unidos advirtieron que Volt Typhoon "no es el único actor cibernético respaldado por China que lleva a cabo este tipo de actividad", pero no revelaron los nombres de los otros grupos que habían estado rastreando.

La semana pasada, el FBI y el Departamento de Justicia de Estados Unidos anunciaron que habían interrumpido la operación de hacking "KV Botnet" dirigida por Volt Typhoon, que había comprometido cientos de enrutadores en Estados Unidos utilizados por pequeñas empresas y oficinas en el hogar. El FBI dijo que logró eliminar el malware de los enrutadores secuestrados y cortar su conexión con los hackers respaldados por el estado chino.

Según un informe de mayo de 2023 publicado por Microsoft, Volt Typhoon ha estado apuntando y violando la infraestructura crítica de Estados Unidos desde al menos mediados de 2021.