Un grupo de hackers en el punto de mira
Recientemente, un grupo de hackers vinculado al gobierno chino ha sido objeto de atención tras descubrirse que ha estado utilizando una vulnerabilidad desconocida en un software para atacar a proveedores de servicios de internet en Estados Unidos. Este grupo, conocido como Volt Typhoon, ha explotado un fallo de día cero en Versa Director, un software desarrollado por Versa Networks. Este tipo de vulnerabilidad se caracteriza por ser desconocida para el fabricante del software, lo que significa que no ha tenido la oportunidad de emitir un parche para corregirla.
La naturaleza del ataque
Versa Networks se dedica a la venta de software que gestiona configuraciones de red, lo que lo convierte en un objetivo crítico y atractivo para los hackers, según un informe publicado por los investigadores de Black Lotus Lab, que forma parte de la firma de ciberseguridad Lumen. El hecho de que los proveedores de servicios de internet y los proveedores de servicios gestionados utilicen el software de Versa lo hace aún más vulnerable a estos ataques. Los hackers de Volt Typhoon están enfocados en atacar infraestructuras críticas, incluidas redes de comunicación y telecomunicaciones, con el objetivo de causar “daños reales” en caso de un conflicto futuro con Estados Unidos.
Motivos detrás del ataque
Los investigadores de Black Lotus Labs han revelado que los objetivos de los hackers eran robar y utilizar credenciales de los clientes downstream de las víctimas corporativas comprometidas. En términos simples, estaban apuntando a los servidores de Versa como un punto de cruce que les permitiría acceder a otras redes conectadas a esos servidores vulnerables. Mike Horka, el investigador de seguridad que investigó este incidente, comentó que “no se limitó solo a telecomunicaciones, sino también a proveedores de servicios gestionados y proveedores de servicios de internet.” Esta estrategia les permite acceder a ubicaciones centrales que, a su vez, proporcionan acceso adicional a otras redes.
Víctimas del ataque
Horka identificó a cuatro víctimas en Estados Unidos: dos proveedores de servicios de internet, un proveedor de servicios gestionados y un proveedor de IT; además de una víctima fuera de Estados Unidos, un proveedor de servicios de internet en India. Sin embargo, Black Lotus Labs no reveló los nombres de las víctimas. Esta falta de transparencia podría ser un intento de proteger a las organizaciones afectadas de un mayor escrutinio público y posibles repercusiones en su reputación.
Respuesta de Versa Networks
Dan Maier, el director de marketing de Versa, confirmó que la compañía ha tomado medidas inmediatas tras la identificación de la vulnerabilidad por parte de Black Lotus Labs. En un correo electrónico, Maier declaró que “Versa confirmó la vulnerabilidad y emitió un parche de emergencia en ese momento. Desde entonces, hemos emitido un parche completo y lo hemos distribuido a todos los clientes.” Según Maier, los investigadores advirtieron a la empresa sobre la falla a finales de junio, lo que demuestra la importancia de la colaboración entre empresas de ciberseguridad y proveedores de tecnología.
Maier también comentó que Versa pudo confirmar la existencia de la vulnerabilidad y observar cómo un “atacante APT” (Amenaza Persistente Avanzada) la aprovechaba. Esta afirmación resalta la gravedad de la situación y la capacidad de los hackers para infiltrarse en sistemas críticos.
Alerta de CISA
Black Lotus Labs notificó a la agencia de ciberseguridad de EE. UU., CISA, sobre la vulnerabilidad de día cero y la campaña de hacking. En respuesta, CISA añadió esta vulnerabilidad a su lista de fallos conocidos que han sido explotados. La agencia advirtió que “este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y representan riesgos significativos para la empresa federal.” Este tipo de alertas son fundamentales para la protección de infraestructuras críticas y subrayan la necesidad de que las organizaciones se mantengan vigilantes frente a posibles ataques.
Implicaciones geopolíticas
La actividad de Volt Typhoon tiene implicaciones que van más allá de la ciberseguridad. Se cree que el grupo tiene como objetivo desestabilizar la respuesta militar de EE. UU. en caso de un conflicto, especialmente en el contexto de una posible invasión de Taiwán. Este enfoque pone de manifiesto la intersección entre la ciberseguridad y la seguridad nacional, ya que los ataques cibernéticos pueden ser utilizados como herramientas en la guerra moderna.
La lucha continua contra el cibercrimen
La situación con Volt Typhoon resalta la lucha continua contra el cibercrimen y la importancia de que las empresas y gobiernos trabajen juntos para abordar estas amenazas. La colaboración entre el sector privado y las agencias gubernamentales es esencial para identificar y mitigar vulnerabilidades antes de que sean explotadas por actores maliciosos. La evolución constante de las tácticas de los hackers exige una respuesta ágil y coordinada para proteger los activos digitales y la infraestructura crítica.
Otras noticias • Seguridad
Ciberataque a Avis expone datos de 299,006 clientes sensibles
Avis sufrió un ciberataque el 5 de agosto, comprometiendo datos de 299,006 clientes, incluyendo información sensible. La falta de detalles sobre el incidente y las...
Ciberataque interrumpe servicios de TfL y genera preocupación pública
Transport for London (TfL) enfrenta interrupciones por un ciberataque, afectando sistemas de venta de billetes e información en tiempo real. Aunque no hay evidencia de...
Telegram introduce botón de "Reportar" tras detención de Durov
Telegram ha actualizado su política de moderación, introduciendo botones de "Reportar" en chats privados tras la detención de su fundador, Pavel Durov, en Francia. Este...
Halliburton sufre ciberataque que compromete información y operaciones
Halliburton sufrió un ciberataque significativo que comprometió información sensible y provocó la desconexión de sistemas, afectando sus operaciones. La empresa investiga el incidente y enfrenta...
Ciberataque norcoreano amenaza criptomonedas con vulnerabilidad en Chrome
En agosto, el grupo norcoreano Citrine Sleet explotó una vulnerabilidad "zero-day" en Chrome para robar criptomonedas. Utilizan ingeniería social y malware como AppleJeus para comprometer...
Ciberataque a Halliburton revela vulnerabilidad en sector energético
El ciberataque a Halliburton destaca la vulnerabilidad del sector energético. La empresa desconectó sistemas para mitigar daños, pero la falta de transparencia genera desconfianza. Se...
Vulnerabilidades en robots Ecovacs permiten espionaje a usuarios
Investigadores alertaron sobre vulnerabilidades en robots de Ecovacs que podrían permitir a hackers espiar a los usuarios. Inicialmente, la empresa minimizó los riesgos, pero luego...
Ciberataque a Trump eleva tensiones entre EE. UU. e Irán
El ciberataque a la campaña de Trump, atribuido a Irán, ha aumentado las tensiones entre ambos países. Irán niega las acusaciones, mientras se destaca la...
Lo más reciente
- 1
Typeface adquiere Treat y Narrato para potenciar su innovación
- 2
EE. UU. sanciona a Intellexa por software espía Predator
- 3
Life360 lanza nuevos rastreadores Tile con botón SOS integrado
- 4
Myntra lanza entrega en cuatro horas, competencia se intensifica
- 5
AWS transfiere OpenSearch a la Fundación Linux para colaboración
- 6
Spotify lanza controles parentales para cuentas de menores
- 7
Startups: Innovación y adaptación en un entorno volátil