Como piratas informáticos patrocinados por el estado trabajando en nombre de Rusia, Irán y Corea del Norte durante años han causado estragos con ataques cibernéticos disruptivos en todo el mundo, los piratas informáticos militares y de inteligencia de China han mantenido en gran medida una reputación de limitar sus intrusiones al espionaje. Pero cuando esos ciberespías violan la infraestructura crítica en los Estados Unidos, y específicamente un territorio estadounidense a las puertas de China, el espionaje, la planificación de contingencia de conflictos y la escalada de la guerra cibernética comienzan a parecerse peligrosamente.
El miércoles, Microsoft reveló en una publicación de blog que rastreó a un grupo de lo que cree que son piratas informáticos patrocinados por el estado chino que desde 2021 han llevado a cabo una amplia campaña de piratería dirigida a sistemas de infraestructura crítica en los estados de EE. UU. y Guam, incluidas las comunicaciones, manufactura, servicios públicos, construcción y transporte.
Las intenciones del grupo, que Microsoft ha denominado Volt Typhoon, pueden ser simplemente de espionaje, dado que no parece haber utilizado su acceso a esas redes críticas para llevar a cabo destrucción de datos u otros ataques ofensivos. Pero Microsoft advierte que la naturaleza de los objetivos del grupo, incluso en un territorio del Pacífico que podría desempeñar un papel clave en un conflicto militar o diplomático con China, aún puede permitir ese tipo de interrupción.
«El comportamiento observado sugiere que el actor de amenazas tiene la intención de realizar espionaje y mantener el acceso sin ser detectado durante el mayor tiempo posible», se lee en la publicación del blog de la compañía. Pero combina esa declaración con una evaluación con «confianza moderada» de que los piratas informáticos están «buscando el desarrollo de capacidades que podrían interrumpir la infraestructura de comunicaciones crítica entre los Estados Unidos y la región de Asia durante futuras crisis».
La firma de seguridad cibernética propiedad de Google, Mandiant, dice que también ha rastreado una parte de las intrusiones del grupo y ofrece una advertencia similar sobre el enfoque del grupo en la infraestructura crítica: «No hay una conexión clara con la propiedad intelectual o la información de políticas que esperamos de una operación de espionaje». dice John Hultquist, quien dirige inteligencia de amenazas en Mandiant. “Eso nos lleva a cuestionarnos si están ahí porque los objetivos son críticos. Nuestra preocupación es que el enfoque en la infraestructura crítica es la preparación para un posible ataque disruptivo o destructivo”.
En la publicación del blog de Microsoft, ofreció detalles técnicos de las intrusiones de los piratas informáticos que pueden ayudar a los defensores de la red a detectarlos y desalojarlos: el grupo, por ejemplo, utiliza enrutadores pirateados, firewalls y otros dispositivos de «borde» de la red como proxies para iniciar su piratería: Dispositivos de orientación, incluidos los vendidos por los fabricantes de hardware ASUS, Cisco, D-Link, NETGEAR y Zyxel. El grupo también suele explotar el acceso proporcionado por cuentas comprometidas de usuarios legítimos en lugar de su propio malware para hacer que su actividad sea más difícil de detectar al parecer benigno.
Mezclarse con el tráfico de red regular de un objetivo en un intento de evadir la detección es un sello distintivo del enfoque de Volt Typhoon y otros actores chinos en los últimos años, dice Marc Burnard, consultor senior de investigación de seguridad de la información en Secureworks. Al igual que Microsoft y Mandiant, la firma ha estado rastreando al grupo y observando las campañas. Agregó que el grupo ha demostrado un “enfoque implacable en la adaptación” para perseguir su espionaje.