🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Hackers chinos vulneraron la infraestructura crítica de Estados Unidos mediante sofisticados ataques

Un grupo de hackers del gobierno chino ha adquirido un punto de apoyo significativo dentro de los entornos de infraestructura crítica en los Estados Unidos y Guam (isla estadounidense) y está robando credenciales de red y datos confidenciales mientras permanece en gran medida indetectable. Esto según Microsoft y autoridades estadounidenses. 

El grupo, identificado por Microsoft bajo el nombre de Volt Typhoon, ha estado activo durante al menos dos años. Y, tiene un enfoque en el espionaje y la recopilación de información para la República Popular China. Para permanecer sigilosos, los hackers utilizan herramientas ya instaladas o integradas en dispositivos infectados que los atacantes controlan manualmente en lugar de automatizarlos, una técnica conocida como “living off the land”. Además de ser revelada por Microsoft, la campaña también fue documentada en un aviso publicado conjuntamente por:

  • Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA)
  • Oficina Federal de Investigaciones (FBI) de Estados Unidos
  • Centro de Seguridad Cibernética de Australia (ACSC)
  • Centro Canadiense de Seguridad Cibernética (CCCS)
  • Centro Nacional de Seguridad Cibernética de Nueva Zelanda (NCSC-NZ)
  • Centro Nacional de Seguridad Cibernética del Reino (NCSC-UK)

Ataques

Además de la técnica de living off the land, los hackers ocultaron aún más su actividad mediante el uso de enrutadores domésticos y de pequeñas oficinas comprometidos como infraestructura intermedia. Esto permite que las comunicaciones con las computadoras infectadas emanen de los ISPs que son locales en el área geográfica. En el aviso de Microsoft, los investigadores afirmaron:

Para lograr su objetivo, los atacantes ponen un gran énfasis en el sigilo en esta campaña, apoyándose casi exclusivamente en técnicas de living off the land y en la actividad práctica del teclado. Emiten comandos a través de la línea de comandos para (1) recopilar datos, incluidas las credenciales de los sistemas locales y de red, (2) poner los datos en un archivo para prepararlo para la exfiltración y luego (3) usar las credenciales válidas robadas para mantener persistencia. Además, Volt Typhoon intenta integrarse en la actividad normal de la red al enrutar el tráfico a través de equipos de red comprometidos para oficinas pequeñas y oficinas domésticas (SOHO), incluidos enrutadores, firewalls y hardware VPN. También se ha observado que usan versiones personalizadas de herramientas de código abierto para establecer un canal de comando y control (C2) a través de un proxy para permanecer aún más ocultos.

Los investigadores de Microsoft dijeron que la campaña probablemente esté diseñada para desarrollar capacidades para “interrumpir la infraestructura de comunicaciones crítica entre los Estados Unidos y la región de Asia durante futuras crisis”. Guam es importante para el ejército estadounidense debido a sus puertos en el Pacífico y la base aérea que proporciona. A medida que las tensiones sobre Taiwán se han calmado, la importancia estratégica de Guam se ha convertido en un punto focal.

Acceso inicial

El punto de entrada inicial para los compromisos de Volt Typhoon es a través de dispositivos Fortinet FortiGuard orientados a internet, que en los últimos años han demostrado ser una importante cabeza de playa para infectar redes . Al explotar las vulnerabilidades en los dispositivos FortiGuard que los administradores no repararon, los hackers extraen las credenciales del Active Directory de una red, que almacena nombres de usuarios, hash de contraseñas y otra información confidencial para todas las demás cuentas. Luego, los hackers usan esos datos para infectar otros dispositivos en la red.

“Volt Typhoon envía todo su tráfico de red a sus objetivos a través de dispositivos perimetrales de red SOHO comprometidos (incluidos los enrutadores). Microsoft ha confirmado que muchos de los dispositivos, que incluyen los fabricados por ASUS, Cisco, D-Link, NETGEAR y Zyxel, permiten al propietario exponer las interfaces de administración HTTP o SSH a Internet”.

Investigadores de Microsoft

El resto del aviso describe principalmente indicadores de compromiso que los administradores pueden usar para determinar si sus redes han sido infectadas.

Los investigadores de Microsoft afirmaron lo siguiente:

En la mayoría de los casos, Volt Typhoon accede a los sistemas comprometidos iniciando sesión con credenciales válidas, de la misma manera que lo hacen los usuarios autorizados. Sin embargo, en una pequeña cantidad de casos, Microsoft ha observado que los operadores de Volt Typhoon crean proxies en sistemas comprometidos para facilitar el acceso. Logran esto con el comando integrado netsh portproxy. 

Volt Typhoon ordena la creación y posterior eliminación de un “portproxy” en un sistema comprometido

Entre las industrias afectadas se encuentran las comunicaciones, la manufactura, los servicios públicos, el transporte, la construcción, la marítima, el gobierno, la informática y la educación. Los avisos brindan orientación para desinfectar cualquier red que se haya visto comprometida.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información