La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha publicado un informe que detalla cómo la amenaza persistente avanzada (APT) Volt Typhoon, respaldada por China, está apuntar constantemente a infraestructuras críticas altamente sensibles, con nueva información sobre el giro de los ciberatacantes hacia las redes de tecnología operativa (OT) una vez que se han infiltrado en ellas.
Dado que la red OT es responsable de las funciones físicas de los sistemas de control industrial (ICS) y de los equipos de control de supervisión y adquisición de datos (SCADA), los hallazgos corroboran claramente la sospecha continua que los piratas informáticos chinos buscan poder interrumpir operaciones físicas críticas en energía, servicios de agua, comunicaciones y transporte, presumiblemente para causar pánico y discordia en caso de una Conflagración cinética entre Estados Unidos y China.
"Los actores de Volt Typhoon se están posicionando previamente en las redes de TI para permitir el movimiento lateral a los activos de OT para interrumpir funciones", según Aviso de CISA sobre el tifón Volt. [Nosotros] “estamos preocupados por la posibilidad de que estos actores utilicen su acceso a la red con efectos disruptivos en caso de posibles tensiones geopolíticas y/o conflictos militares”.
Es un conjunto importante de revelaciones, según John Hultquist, analista jefe de Mandiant Intelligence/Google Cloud.
“Anteriormente, podíamos deducir del targeting que el actor tenía una gran interés en infraestructura crítica eso tenía poco valor de inteligencia”, dijo en un análisis enviado por correo electrónico. Pero el informe de CISA muestra que “Volt Typhoon está recopilando información e incluso penetrando en los sistemas OT, los sistemas altamente sensibles que ejecutan los procesos físicos en el corazón de la infraestructura crítica”, añadió. “En las condiciones adecuadas, Los sistemas OT podrían ser manipulados provocar cortes importantes de servicios esenciales, o incluso crear condiciones peligrosas”.
Hultquist añadió: "Si había algún escepticismo sobre por qué este actor está llevando a cabo estas intrusiones, esta revelación debería poner fin a ello".
Vivir de la tierra y esconderse durante 5 años
CISA también reveló hoy que Volt Typhoon (también conocido como Vanguard Panda, Bronze Silhouette, Dev-0391, UNC3236, Voltzite e Insidious Taurus) se ha escondido secretamente en la infraestructura de EE. UU. durante media década, a pesar de que fueron los primeros. descubierto públicamente por Microsoft solo el año pasado.
“A diferencia de los operadores de ransomware cuyo objetivo es entrar y causar daños rápidamente, este operador de estado-nación aprovecha cuentas válidas y 'vivir de la tierra' [LOTL] técnicas para evadir la detección durante largos períodos de tiempo”, dijo Ken Westin, CISO de campo en Panther Lab, en un comentario enviado por correo electrónico. "Estos métodos permiten al grupo monitorear sus objetivos y proporcionar un punto de apoyo para causar daño cinético".
Para empezar, la APT “también depende de cuentas válidas y aprovecha una sólida seguridad operativa, lo que... permite una persistencia no descubierta a largo plazo”, explicó CISA. “Los actores del Volt Typhoon llevan a cabo un amplio reconocimiento previo a la explotación para conocer la organización objetivo y su entorno; adaptar sus tácticas, técnicas y procedimientos (TTP) al entorno de la víctima; y dedicar recursos continuos para mantener la persistencia y comprender el entorno objetivo a lo largo del tiempo, incluso después del compromiso inicial”.
Mientras que la estrategia de Volt Typhoon de permanecer oculto mediante el uso de servicios públicos legítimos y mimetizándose con el tráfico normal no es un fenómeno nuevo en el cibercrimen, dificulta que los objetivos potenciales escaneen activamente en busca de actividad maliciosa, según CISA, que emitió una amplia guía LOTL hoy por hacer justamente eso.
Mientras tanto, una actualización de la infraestructura, si bien en algunos casos podría requerir un reemplazo costoso y laborioso del montacargas, también podría no salir mal.
"Muchos de los entornos OT atacados son conocidos por ejecutar software obsoleto, ya sea por negligencia o por necesidad, si los sistemas no se pueden actualizar, lo que aumenta el riesgo que representa esta amenaza", dijo Westin.
Es preocupante que CISA también haya observado que el peligro se extiende más allá de Estados Unidos. El mes pasado, el equipo STRIKE de SecurityScorecard identificó una nueva infraestructura vinculada a Volt Typhoon que indicaba que la APT también estaba apuntando a activos de los gobiernos de Australia y el Reino Unido. El informe de CISA amplía ese riesgo para incluir también a Canadá y Nueva Zelanda: todas las infraestructuras de estos socios estadounidenses también son susceptibles a los actores de los Estados-nación, advirtió.
El aviso de CISA llega inmediatamente después de una acción del gobierno para perturbar la botnet de enrutador para pequeñas oficinas/oficinas domésticas (SOHO) del grupo, que solía Deseche a quienes rastrean su actividad..
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/threat-intelligence/china-cyberattackers-disrupt-us-critical-infrastructure
