Infiltración | Seguridad

Grupo de hackers chinos infiltrados en infraestructura crítica de EE.UU

Ciberataques chinos amenazan la infraestructura crítica de Estados Unidos

Un grupo de hackers respaldado por China ha mantenido acceso a la infraestructura crítica estadounidense durante al menos cinco años, con el objetivo a largo plazo de lanzar ciberataques "destructivos", advirtieron el miércoles una coalición de agencias de inteligencia de Estados Unidos.

El grupo Volt Typhoon se infiltra en la infraestructura crítica

El grupo de hackers estatal Volt Typhoon, con respaldo de China, se ha infiltrado en las redes de organizaciones de aviación, ferrocarriles, transporte masivo, carreteras, marítimas, tuberías, agua y alcantarillado, en un intento de posicionarse para futuros ciberataques destructivos, según la NSA, CISA y el FBI en un aviso conjunto publicado el miércoles.

Este hecho marca un "cambio estratégico" en las operaciones tradicionales de ciberespionaje o recopilación de inteligencia respaldadas por China, ya que ahora se están preparando para interrumpir la tecnología operativa en caso de un conflicto o crisis importante.

Advertencia conjunta de inteligencia global

El aviso fue firmado conjuntamente por agencias de ciberseguridad del Reino Unido, Australia, Canadá y Nueva Zelanda. Esta advertencia llega una semana después de una advertencia similar del director del FBI, Christopher Wray, durante una audiencia del Comité de la Cámara de Representantes de Estados Unidos sobre las amenazas cibernéticas planteadas por China. Wray describió a Volt Typhoon como "la amenaza definitoria de nuestra generación" y dijo que el objetivo del grupo es "interferir en la capacidad de movilización de nuestro ejército" en las primeras etapas de un conflicto anticipado sobre Taiwán, que China reclama como su territorio.

Explotación de vulnerabilidades y acceso a largo plazo

Según el aviso técnico del miércoles, Volt Typhoon ha estado explotando vulnerabilidades en enrutadores, firewalls y redes privadas virtuales (VPN) para obtener acceso inicial a la infraestructura crítica en todo el país. Los hackers respaldados por China generalmente utilizan credenciales de administrador robadas para mantener el acceso a estos sistemas, y en algunos casos, han mantenido el acceso durante "al menos cinco años".

Este acceso ha permitido a los hackers respaldados por el estado llevar a cabo posibles interrupciones, como "manipular sistemas de calefacción, ventilación y aire acondicionado (HVAC) en salas de servidores o interrumpir los controles críticos de energía y agua, lo que lleva a fallas significativas en la infraestructura", advierte el aviso. En algunos casos, los hackers de Volt Typhoon tenían la capacidad de acceder a los sistemas de vigilancia de cámaras en instalaciones de infraestructura crítica, aunque no está claro si lo hicieron.

Técnicas de persistencia y reconocimiento

Volt Typhoon también utiliza técnicas de "vivir de la tierra", mediante las cuales los atacantes utilizan herramientas y características legítimas ya presentes en el sistema objetivo, para mantener una persistencia a largo plazo sin ser descubiertos. Los hackers también realizan un "reconocimiento extenso previo al compromiso" para evitar la detección. Según el aviso, "por ejemplo, en algunos casos, los actores de Volt Typhoon pueden haberse abstenido de usar credenciales comprometidas fuera del horario laboral normal para evitar activar alertas de seguridad por actividades de cuenta anormales".

Otras amenazas respaldadas por China

En una llamada el miércoles, altos funcionarios de las agencias de inteligencia de Estados Unidos advirtieron que Volt Typhoon "no es el único actor cibernético respaldado por China que lleva a cabo este tipo de actividad", pero no revelaron los nombres de los otros grupos que habían estado rastreando.

La semana pasada, el FBI y el Departamento de Justicia de Estados Unidos anunciaron que habían interrumpido la operación de hacking "KV Botnet" dirigida por Volt Typhoon, que había comprometido cientos de enrutadores en Estados Unidos utilizados por pequeñas empresas y oficinas en el hogar. El FBI dijo que logró eliminar el malware de los enrutadores secuestrados y cortar su conexión con los hackers respaldados por el estado chino.

Según un informe de mayo de 2023 publicado por Microsoft, Volt Typhoon ha estado apuntando y violando la infraestructura crítica de Estados Unidos desde al menos mediados de 2021.


Podcast El Desván de las Paradojas
Publicidad


Otras noticias • Seguridad

Multas

Avast pagará 16,5 millones por vender datos de navegación. Hackers roban información personal de usuarios de CCleaner

Avast pagará 16,5 millones de dólares por vender datos de navegación de usuarios a anunciantes. CCleaner sufrió una violación de datos donde hackers robaron información...

Bloqueo

Ciberataque paraliza procesamiento de recetas en farmacias de Estados Unidos

Un ciberataque a Change Healthcare ha afectado a miles de farmacias en Estados Unidos, impidiendo el procesamiento de recetas. La empresa es una de las...

Solidaridad

Proton Mail condena bloqueo en India y defiende privacidad ciudadana

La empresa suiza Proton Mail ha condenado el posible bloqueo en India después de recibir amenazas de bomba a través de su servicio. La compañía...

Movilización

Escritores de fan fiction se unen contra proyecto de ley KOSA

Los escritores de fan fiction se unen para oponerse al proyecto de ley KOSA, respaldado por empresas de tecnología, argumentando que amenaza la libertad de...

Desarticulación

EE.UU. desmantela operación de piratería china contra infraestructura crítica

El gobierno de EE.UU. ha desmantelado una operación de piratería respaldada por China que tenía como objetivo la infraestructura crítica del país. El director del...

Ciberataque

Hackers respaldados por China explotan vulnerabilidades en VPN corporativa

Ivanti, una empresa de ciberseguridad, ha advertido sobre nuevas vulnerabilidades en su producto de VPN corporativa, Connect Secure, que están siendo explotadas por hackers respaldados...

Brecha

Violación de datos en Aruba Networks expone información de clientes

Hewlett Packard Enterprise (HPE) ha revelado que los datos de los clientes de su filial Aruba Networks fueron comprometidos después de una violación de datos...

Sanción

Gobierno de Estados Unidos sanciona a ruso por ataque ransomware

El gobierno de Estados Unidos sanciona a un ciudadano ruso, Alexander Ermakov, por su participación en el ataque de ransomware contra la aseguradora australiana Medibank....