Los piratas informáticos respaldados por China han mantenido el acceso a la infraestructura crítica estadounidense durante “al menos cinco años” con el objetivo a largo plazo de lanzar ciberataques “destructivos”, advirtió el miércoles una coalición de agencias de inteligencia estadounidenses.
Volt Typhoon, un grupo de hackers patrocinado por el Estado con sede en China, ha estado invadiendo las redes de organizaciones de aviación, ferrocarriles, transporte público, autopistas, transporte marítimo, oleoductos, agua y alcantarillado (ninguna de las cuales fue nombrada) en un intento por prevenir -posicionarse para ataques cibernéticos destructivos, dijeron la NSA, CISA y el FBI en un aviso conjunto publicado el miércoles.
Esto marca un «cambio estratégico» en las tradicionales operaciones de ciberespionaje o recopilación de inteligencia de los piratas informáticos respaldados por China, dijeron las agencias, ya que en cambio se preparan para alterar la tecnología operativa en caso de un conflicto o crisis importante.
La publicación del aviso, que fue firmado conjuntamente por agencias de ciberseguridad del Reino Unido, Australia, Canadá y Nueva Zelanda, se produce una semana después de una advertencia similar del director del FBI, Christopher Wray. Hablando durante una audiencia del comité de la Cámara de Representantes de Estados Unidos sobre las amenazas cibernéticas planteadas por China, Wray describió el Volt Typhoon como «la amenaza definitoria de nuestra generación» y dijo que el objetivo del grupo es «perturbar la capacidad de movilización de nuestro ejército» en las primeras etapas de una conflicto anticipado sobre Taiwán, que China reclama como su territorio.
Según el aviso técnico del miércoles, Volt Typhoon ha estado explotando vulnerabilidades en enrutadores, firewalls y VPN para obtener acceso inicial a infraestructura crítica en todo el país. Los piratas informáticos respaldados por China normalmente aprovecharon las credenciales de administrador robadas para mantener el acceso a estos sistemas, según el aviso, y en algunos casos, han mantenido el acceso durante «al menos cinco años».
Este acceso permitió a los piratas informáticos respaldados por el estado llevar a cabo posibles interrupciones como “manipular sistemas de calefacción, ventilación y aire acondicionado (HVAC) en salas de servidores o interrumpir controles críticos de energía y agua, lo que provocó fallas importantes en la infraestructura”, advirtió el aviso. En algunos casos, los piratas informáticos del Volt Typhoon tenían la capacidad de acceder a sistemas de vigilancia con cámaras en instalaciones de infraestructura crítica, aunque no está claro si lo hicieron.
Volt Typhoon también utilizó técnicas de subsistencia, mediante las cuales los atacantes utilizan herramientas y funciones legítimas ya presentes en el sistema objetivo, para mantener una persistencia no descubierta a largo plazo. Los piratas informáticos también llevaron a cabo un “extenso reconocimiento previo al compromiso” en un intento por evitar la detección. «Por ejemplo, en algunos casos, los actores de Volt Typhoon pueden haberse abstenido de usar credenciales comprometidas fuera del horario laboral normal para evitar activar alertas de seguridad sobre actividades anormales de la cuenta», decía el aviso.
En una llamada telefónica el miércoles, altos funcionarios de las agencias de inteligencia estadounidenses advirtieron que Volt Typhoon “no es el único ciberactor respaldado por el Estado chino que lleva a cabo este tipo de actividad”, pero no nombraron a los otros grupos a los que habían estado rastreando.
La semana pasada, el FBI y el Departamento de Justicia de Estados Unidos anunciaron que habían interrumpido la “KV Botnet” dirigida por Volt Typhoon que había comprometido cientos de enrutadores con sede en Estados Unidos para pequeñas empresas y oficinas domésticas. El FBI dijo que pudo eliminar el malware de los enrutadores secuestrados y cortar su conexión con los piratas informáticos patrocinados por el estado chino.
Según un informe de mayo de 2023 publicado por Microsoft, Volt Typhoon ha estado atacando y violando la infraestructura crítica de EE. UU. desde al menos mediados de 2021.