Hackers chinos atacan proveedores de internet en EE. UU

Un grupo de hackers en el punto de mira

Recientemente, un grupo de hackers vinculado al gobierno chino ha sido objeto de atención tras descubrirse que ha estado utilizando una vulnerabilidad desconocida en un software para atacar a proveedores de servicios de internet en Estados Unidos. Este grupo, conocido como Volt Typhoon, ha explotado un fallo de día cero en Versa Director, un software desarrollado por Versa Networks. Este tipo de vulnerabilidad se caracteriza por ser desconocida para el fabricante del software, lo que significa que no ha tenido la oportunidad de emitir un parche para corregirla.

La naturaleza del ataque

Versa Networks se dedica a la venta de software que gestiona configuraciones de red, lo que lo convierte en un objetivo crítico y atractivo para los hackers, según un informe publicado por los investigadores de Black Lotus Lab, que forma parte de la firma de ciberseguridad Lumen. El hecho de que los proveedores de servicios de internet y los proveedores de servicios gestionados utilicen el software de Versa lo hace aún más vulnerable a estos ataques. Los hackers de Volt Typhoon están enfocados en atacar infraestructuras críticas, incluidas redes de comunicación y telecomunicaciones, con el objetivo de causar “daños reales” en caso de un conflicto futuro con Estados Unidos.

Motivos detrás del ataque

Los investigadores de Black Lotus Labs han revelado que los objetivos de los hackers eran robar y utilizar credenciales de los clientes downstream de las víctimas corporativas comprometidas. En términos simples, estaban apuntando a los servidores de Versa como un punto de cruce que les permitiría acceder a otras redes conectadas a esos servidores vulnerables. Mike Horka, el investigador de seguridad que investigó este incidente, comentó que “no se limitó solo a telecomunicaciones, sino también a proveedores de servicios gestionados y proveedores de servicios de internet.” Esta estrategia les permite acceder a ubicaciones centrales que, a su vez, proporcionan acceso adicional a otras redes.

Víctimas del ataque

Horka identificó a cuatro víctimas en Estados Unidos: dos proveedores de servicios de internet, un proveedor de servicios gestionados y un proveedor de IT; además de una víctima fuera de Estados Unidos, un proveedor de servicios de internet en India. Sin embargo, Black Lotus Labs no reveló los nombres de las víctimas. Esta falta de transparencia podría ser un intento de proteger a las organizaciones afectadas de un mayor escrutinio público y posibles repercusiones en su reputación.

Respuesta de Versa Networks

Dan Maier, el director de marketing de Versa, confirmó que la compañía ha tomado medidas inmediatas tras la identificación de la vulnerabilidad por parte de Black Lotus Labs. En un correo electrónico, Maier declaró que “Versa confirmó la vulnerabilidad y emitió un parche de emergencia en ese momento. Desde entonces, hemos emitido un parche completo y lo hemos distribuido a todos los clientes.” Según Maier, los investigadores advirtieron a la empresa sobre la falla a finales de junio, lo que demuestra la importancia de la colaboración entre empresas de ciberseguridad y proveedores de tecnología.

Maier también comentó que Versa pudo confirmar la existencia de la vulnerabilidad y observar cómo un “atacante APT” (Amenaza Persistente Avanzada) la aprovechaba. Esta afirmación resalta la gravedad de la situación y la capacidad de los hackers para infiltrarse en sistemas críticos.

Alerta de CISA

Black Lotus Labs notificó a la agencia de ciberseguridad de EE. UU., CISA, sobre la vulnerabilidad de día cero y la campaña de hacking. En respuesta, CISA añadió esta vulnerabilidad a su lista de fallos conocidos que han sido explotados. La agencia advirtió que “este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y representan riesgos significativos para la empresa federal.” Este tipo de alertas son fundamentales para la protección de infraestructuras críticas y subrayan la necesidad de que las organizaciones se mantengan vigilantes frente a posibles ataques.

Implicaciones geopolíticas

La actividad de Volt Typhoon tiene implicaciones que van más allá de la ciberseguridad. Se cree que el grupo tiene como objetivo desestabilizar la respuesta militar de EE. UU. en caso de un conflicto, especialmente en el contexto de una posible invasión de Taiwán. Este enfoque pone de manifiesto la intersección entre la ciberseguridad y la seguridad nacional, ya que los ataques cibernéticos pueden ser utilizados como herramientas en la guerra moderna.

La lucha continua contra el cibercrimen

La situación con Volt Typhoon resalta la lucha continua contra el cibercrimen y la importancia de que las empresas y gobiernos trabajen juntos para abordar estas amenazas. La colaboración entre el sector privado y las agencias gubernamentales es esencial para identificar y mitigar vulnerabilidades antes de que sean explotadas por actores maliciosos. La evolución constante de las tácticas de los hackers exige una respuesta ágil y coordinada para proteger los activos digitales y la infraestructura crítica.