La Agencia de Seguridad Nacional de Estados Unidos a menudo guarda silencio sobre su trabajo e inteligencia. Pero en la conferencia de seguridad Cyberwarcon celebrada en Washington DC el jueves, dos miembros del Centro de Colaboración en Ciberseguridad de la agencia hicieron un “llamado a la acción” para la comunidad de ciberseguridad: tengan cuidado con la amenaza de los piratas informáticos respaldados por el gobierno chino que se incrustan en la infraestructura crítica de Estados Unidos.
Junto con sus homólogos de la alianza de inteligencia “Cinco Ojos”, la NSA ha estado advirtiendo desde mayo que un grupo patrocinado por Beijing conocido como Volt Typhoon ha estado atacando redes de infraestructura críticas, incluidas las redes eléctricas, como parte de su actividad.
Los funcionarios enfatizaron el jueves que los administradores de red y los equipos de seguridad deben estar atentos a actividades sospechosas en las que los piratas informáticos manipulen y hagan mal uso de herramientas legítimas en lugar de malware (un enfoque conocido como “vivir de la tierra”) para llevar a cabo operaciones clandestinas. Agregaron que el gobierno chino también desarrolla novedosas técnicas de intrusión y malware, gracias a una importante reserva de vulnerabilidades de día cero que los piratas informáticos pueden convertir en armas y explotar. Beijing recopila estos errores a través de su propia investigación, así como de una ley que exige la divulgación de vulnerabilidades.
La República Popular China «trabaja para obtener acceso no autorizado a los sistemas y esperar el mejor momento para explotar estas redes», dijo el jueves Morgan Adamski, director del Centro de Colaboración en Ciberseguridad de la NSA. “La amenaza es extremadamente sofisticada y generalizada. No es fácil de encontrar. Se está posicionando previamente con la intención de excavar silenciosamente en redes críticas a largo plazo. El hecho de que estos actores estén en infraestructura crítica es inaceptable y es algo que nos estamos tomando muy en serio, algo que nos preocupa”.
Mark Parsons y Judy Ng de Microsoft dieron una actualización sobre la actividad de Volt Typhoon más tarde ese día en Cyberwarcon. Señalaron que después de aparentemente permanecer inactivo durante la primavera y la mayor parte del verano, el grupo reapareció en agosto con una seguridad operativa mejorada para hacer que su actividad fuera más difícil de rastrear. Volt Typhoon ha seguido atacando universidades y programas del Cuerpo de Entrenamiento de Oficiales de Reserva del Ejército de EE. UU. (un tipo de víctima que el grupo prefiere especialmente), pero también se ha observado que ataca a otras empresas de servicios públicos de EE. UU.
«Creemos que Volt Typhoon está haciendo esto para actividades relacionadas con el espionaje, pero además, creemos que hay un elemento que podrían usarlo para destrucción o interrupción en un momento de necesidad», dijo Ng de Microsoft el jueves.
Adamski y Josh Zaritsky, director de operaciones del Centro de Colaboración de Ciberseguridad de la NSA, instaron a los defensores de la red a administrar y auditar los registros de su sistema para detectar actividades anómalas y almacenar registros de manera que no puedan ser eliminados por un atacante que obtenga acceso al sistema y esté buscando. para ocultar sus huellas.
Los dos también enfatizaron las mejores prácticas, como la autenticación de dos factores y la limitación de los privilegios del sistema de usuarios y administradores para minimizar la posibilidad de que los atacantes puedan comprometer y explotar cuentas en primer lugar. Y enfatizaron que no sólo es necesario parchear las vulnerabilidades del software, sino que también es crucial regresar y verificar los registros y registros para asegurarse de que no haya señales de que el error fue explotado antes de ser parcheado.
“Vamos a necesitar proveedores de servicios de Internet, proveedores de nube, empresas de terminales, empresas de ciberseguridad, fabricantes de dispositivos, todos juntos en esta lucha. Y esta es una lucha por nuestra infraestructura crítica estadounidense”, dijo Adamski. «Los productos, los servicios en los que confiamos, todo lo que importa, por eso es importante».