China-backed hackers hid inside US critical infrastructure for ‘at least five years’

Hackers respaldados por China han tenido acceso a infraestructura crítica de EE. UU. durante “al menos cinco años”, con el objetivo a largo plazo de lanzar ciberataques “destructivos”. Las agencias marcan un “cambio estratégico” en el hackeo o recopilación de inteligencia patrocinados por China, ya que se preparan para interrumpir la tecnología de combate en caso de un conflicto o crisis importante. El Volt Typhoon ha estado explotando vulnerabilidades en enrutadores, firewalls y VPNS para obtener acceso inicial a infraestructura crítica en todo el país y, en algunos casos, la capacidad de aprovechar los sistemas de vigilancia por cámaras de infraestructura crítica. Según un informe publicado por Microsoft en mayo de 2023, Typhoon Volt ha estado atacando y dañando infraestructura crítica en EE. UU. desde al menos mediados de 2021. Peligros potenciales Una coalición de agencias de inteligencia estadounidenses dijo el 7 de febrero que hackers respaldados por China tuvieron acceso a infraestructura crítica de EE. UU. durante “al menos cinco años” con el objetivo a largo plazo de lanzar ciberataques “dañinos”. La NSA, cisa y el FBI dijeron en un informe conjunto publicado el miércoles que Volta Typhoon es un grupo de hackers financiado por el gobierno chino que ha estado irrumpiendo en las redes de organizaciones de aviación, ferrocarriles, transporte público, carreteras, marítimo, evidencia publicada, agua y alcantarillado, ninguna de las cuales fue nombrada, con el objetivo de prepararse para un ciberataque devastador. Las agencias marcan un “cambio estratégico” respecto al ciberespionaje tradicional o la recopilación de inteligencia por parte de hackers respaldados por China, quienes en cambio se están preparando para interrumpir técnicas de combate en caso de un conflicto o crisis importante. Lea también: El FBI alerta sobre la amenaza creciente de ataques de ransomware dual El informe, firmado conjuntamente por agencias de ciberseguridad en Gran Bretaña, Australia, Canadá y Nueva Zelanda, llega una semana después de que el director del FBI, Christopher Wray, emitiera una advertencia similar. Christopher Wray, hablando en una audiencia del Comité de la Cámara de Representantes de EE. UU. sobre la amenaza cibernética que representa China, calificó a Typhoon Volta como “la amenaza definitoria de nuestra generación” y dijo que el objetivo del grupo era “interrumpir la capacidad de nuestro ejército para movilizarse” en las primeras etapas de un conflicto esperado por Taiwán. Crisis durante cinco años Según un aviso técnico del miércoles, Volta Typhoon ha estado explotando vulnerabilidades en enrutadores, firewalls y VPNS para obtener acceso inicial a infraestructura crítica en todo el país. Por ejemplo, “manipular sistemas de calefacción, ventilación y aire acondicionado (HVAC) en salas de servidores, o interrumpir controles críticos de energía y agua, lo que lleva a fallas importantes en la infraestructura”. En algunos casos, los hackers voltaicos pudieron obtener acceso a los sistemas de vigilancia por cámaras de infraestructura crítica aunque no está claro si lo hicieron. El Voltaic Typhoon también utiliza técnicas de “supervivencia fuera del terreno”, en las que un atacante utiliza herramientas y características legítimas ya presentes en un sistema objetivo para mantener una persistencia a largo plazo sin ser detectado. Los hackers también llevaron a cabo un “reconocimiento exhaustivo previo a la intrusión” para evitar la detección. “Por ejemplo, en algunos casos, los participantes de Voltaic Typhoon pueden abandonar el uso de credenciales comprometidas fuera del horario comercial normal para evitar activar una alerta de seguridad por actividad inusual de la cuenta”, dijo el boletín. El Volt Typhoon “no es el único actor cibernético respaldado por el estado chino involucrado en este tipo de actividad”. La semana pasada, el FBI y el Departamento de Justicia de EE. UU. anunciaron que habían interrumpido la botnet KV operada por Volt Typhoon, que había comprometido enrutadores en cientos de pequeñas empresas y oficinas domésticas de EE. UU. El FBI dijo que pudo eliminar el malware de los enrutadores secuestrados y desconectarlos de los hackers respaldados por el gobierno chino. Ver también: Ziggo Group nombra a sus líderes antes de su salida a bolsa en Ámsterdam en 2027.