Cómo opera Volt Typhoon, el grupo de hackers financiado por el régimen chino

Volt Typhoon es un grupo de hackers patrocinado por el estado chino. El gobierno de Estados Unidos y sus principales socios de inteligencia global, conocidos como los Cinco Ojos, emitieron una advertencia el 19 de marzo de 2024 sobre la actividad del grupo dirigida a infraestructuras críticas.

La advertencia se hace eco de los análisis realizados por la comunidad de ciberseguridad sobre la piratería informática patrocinada por el Estado chino en los últimos años. Como ocurre con muchos ciberataques y atacantes, Volt Typhoon tiene muchos alias y también se le conoce como Vanguard Panda, Bronze Silhouette, Dev-0391, UNC3236, Voltzite e Insidious Taurus. Tras estas últimas advertencias, China volvió a negar que participe en ciberespionaje ofensivo.

Volt Typhoon ha comprometido miles de dispositivos en todo el mundo desde que los analistas de seguridad de Microsoft lo identificaron públicamente en mayo de 2023. Sin embargo, algunos analistas tanto del gobierno como de la comunidad de ciberseguridad creen que el grupo ha estado apuntando a la infraestructura desde mediados de 2021, y posiblemente a mucho más extenso.

Volt Typhoon utiliza software malicioso que penetra en los sistemas conectados a Internet explotando vulnerabilidades como contraseñas de administrador débiles, inicios de sesión predeterminados de fábrica y dispositivos que no se han actualizado periódicamente. Los piratas informáticos se han dirigido a sistemas de comunicaciones, energía, transporte, agua y aguas residuales en Estados Unidos y sus territorios, como Guam.

En muchos sentidos, Volt Typhoon funciona de manera similar a los operadores tradicionales de botnets que han plagado Internet durante décadas. Toma el control de dispositivos de Internet vulnerables, como enrutadores y cámaras de seguridad, para ocultarlos y establecer una cabeza de playa antes de utilizar ese sistema para lanzar futuros ataques.

Operar de esta manera dificulta que los defensores de la ciberseguridad identifiquen con precisión el origen de un ataque. Peor aún, los defensores podrían tomar represalias accidentalmente contra un tercero que no sepa que está atrapado en la botnet de Volt Typhoon.

La alteración de infraestructuras críticas tiene el potencial de causar daños económicos en todo el mundo. La operación Volt Typhoon también representa una amenaza para el ejército estadounidense al interrumpir potencialmente el suministro de energía y agua a instalaciones militares y cadenas de suministro críticas.

El informe de Microsoft de 2023 señaló que Volt Typhoon podría “perturbar la infraestructura de comunicaciones crítica entre Estados Unidos y la región de Asia durante futuras crisis”. El informe de marzo de 2024, publicado en Estados Unidos por la Agencia de Seguridad de Infraestructura y Ciberseguridad, también advirtió que la botnet podría provocar “la interrupción o destrucción de servicios críticos en caso de aumento de las tensiones geopolíticas y/o conflicto militar con Estados Unidos y sus países”. aliados”.

La existencia de Volt Typhoon y las crecientes tensiones entre China y Estados Unidos, particularmente en torno a Taiwán, subrayan la conexión más reciente entre los eventos globales y la ciberseguridad.

El FBI informó el 31 de enero de 2024 que había interrumpido las operaciones de Volt Typhoon al eliminar el malware del grupo de cientos de enrutadores de pequeñas oficinas y oficinas domésticas. Sin embargo, Estados Unidos todavía está determinando el alcance de la infiltración del grupo en la infraestructura crítica de Estados Unidos.

El 25 de marzo de 2024, Estados Unidos y el Reino Unido anunciaron que habían impuesto sanciones a los piratas informáticos chinos involucrados en comprometer sus infraestructuras. Y otros países, incluida Nueva Zelanda, han revelado ataques cibernéticos que se remontan a China en los últimos años.

Todas las organizaciones, especialmente los proveedores de infraestructura, deben practicar una informática segura y comprobada centrada en la preparación, la detección y la respuesta. Deben asegurarse de que sus sistemas de información y dispositivos inteligentes estén configurados y parcheados adecuadamente, y que puedan registrar la actividad. Y deben identificar y reemplazar cualquier dispositivo en los bordes de sus redes, como enrutadores y firewalls, que ya no sean compatibles con su proveedor.

Las organizaciones también pueden implementar medidas sólidas de autenticación de usuarios, como la autenticación multifactor, para dificultar que atacantes como Volt Typhoon comprometan sistemas y dispositivos. En términos más generales, el marco integral de ciberseguridad del NIST puede ayudar a estas organizaciones a desarrollar posturas de ciberseguridad más sólidas para defenderse contra Volt Typhoon y otros atacantes.

Las personas también pueden tomar medidas para protegerse a sí mismas y a sus empleadores asegurándose de que sus dispositivos estén actualizados adecuadamente, permitiendo la autenticación multifactor, nunca reutilizando contraseñas y manteniéndose atentos a actividades sospechosas en sus cuentas, dispositivos y redes.

Para los profesionales de la ciberseguridad y la sociedad en general, ataques como Volt Typhoon pueden representar una enorme amenaza geopolítica para la ciberseguridad. Son un recordatorio para que todos supervisen lo que sucede en el mundo y consideren cómo los acontecimientos actuales pueden afectar la confidencialidad, integridad y disponibilidad de todo lo digital.

*Artículo publicado originalmente por The Conversation. Richard Forno es Profesor titular de Informática e Ingeniería Eléctrica, Universidad de Maryland, Condado de Baltimore