Los piratas informáticos del estado chino infectan la infraestructura crítica en los EE. UU. y Guam

Los piratas informáticos del estado chino infectan la infraestructura crítica en los EE. UU. y Guam

peterschreiber.media | imágenes falsas

Un grupo de piratería del gobierno chino ha adquirido un punto de apoyo significativo dentro de los entornos de infraestructura crítica en los EE. UU. y Guam y está robando credenciales de red y datos confidenciales mientras permanece en gran medida indetectable, dijeron el miércoles Microsoft y los gobiernos de los EE. UU. y otros cuatro países.

El grupo, rastreado por Microsoft bajo el nombre Volt Typhoon, ha estado activo durante al menos dos años con un enfoque en el espionaje y la recopilación de información para la República Popular China, Microsoft dicho. Para permanecer sigilosos, los piratas informáticos utilizan herramientas ya instaladas o integradas en dispositivos infectados que los atacantes controlan manualmente en lugar de automatizarlos, una técnica conocida como “vivir de la tierra”. Además de ser revelada por Microsoft, la campaña también fue documentada en un consultivo publicado conjuntamente por:

• Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA)
• Oficina Federal de Investigaciones de EE. UU. (FBI)
• Centro Australiano de Seguridad Cibernética (ACSC)
• Centro Canadiense de Seguridad Cibernética (CCCS)
• Centro Nacional de Seguridad Cibernética de Nueva Zelanda (NCSC-NZ)
• Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC-UK)

Además de la técnica de vivir fuera de la tierra, los piratas informáticos ocultaron aún más su actividad mediante el uso de enrutadores domésticos y de oficinas pequeñas comprometidos como infraestructura intermedia que permite que las comunicaciones con las computadoras infectadas emanen de los ISP que son locales en el área geográfica. En el aviso de Microsoft, los investigadores escribieron:

Para lograr su objetivo, el actor de amenazas pone un fuerte énfasis en el sigilo en esta campaña, apoyándose casi exclusivamente en técnicas de vivir de la tierra

y actividad práctica con el teclado. Emiten comandos a través de la línea de comandos para (1) recopilar datos, incluidas las credenciales de los sistemas locales y de red, (2) colocar los datos en un archivo para prepararlo para la exfiltración y luego (3) usar las credenciales válidas robadas para mantener persistencia. Además, Volt Typhoon intenta integrarse en la actividad normal de la red al enrutar el tráfico a través de equipos de red comprometidos para oficinas pequeñas y oficinas domésticas (SOHO), incluidos enrutadores, firewalls y hardware VPN. También se ha observado que usan versiones personalizadas de herramientas de código abierto para establecer un canal de comando y control (C2) a través de un proxy para permanecer aún más ocultos.

Los investigadores de Microsoft dijeron que la campaña probablemente esté diseñada para desarrollar capacidades para “interrumpir la infraestructura de comunicaciones crítica entre los Estados Unidos y la región de Asia durante futuras crisis”. Guam es importante para el ejército estadounidense debido a sus puertos en el Pacífico y la base aérea que proporciona. A medida que las tensiones sobre Taiwán se han calmado, la importancia estratégica de Guam se ha convertido en un punto focal.

El punto de entrada inicial para los compromisos de Volt Typhoon es a través de dispositivos Fortinet FortiGuard orientados a Internet, que en los últimos años han demostrado ser una importante cabeza de playa para infectar redes. Al explotar las vulnerabilidades en los dispositivos FortiGuard que los administradores no repararon, los piratas informáticos extraen las credenciales del Active Directory de una red, que almacena nombres de usuario, hash de contraseñas y otra información confidencial para todas las demás cuentas. Luego, los piratas informáticos usan esos datos para infectar otros dispositivos en la red.

“Volt Typhoon envía todo su tráfico de red a sus objetivos a través de dispositivos de borde de red SOHO comprometidos (incluidos los enrutadores)”, escribieron los investigadores de Microsoft. “Microsoft ha confirmado que muchos de los dispositivos, que incluyen los fabricados por ASUS, Cisco, D-Link, NETGEAR y Zyxel, permiten al propietario exponer las interfaces de administración HTTP o SSH a Internet”.

El resto del aviso describe principalmente indicadores de compromiso que los administradores pueden usar para determinar si sus redes han sido infectadas.

Los investigadores de Microsoft escribieron:

En la mayoría de los casos, Volt Typhoon accede a los sistemas comprometidos iniciando sesión con credenciales válidas, de la misma manera que lo hacen los usuarios autorizados. Sin embargo, en una pequeña cantidad de casos, Microsoft ha observado que los operadores de Volt Typhoon crean proxies en sistemas comprometidos para facilitar el acceso. Logran esto con el incorporado proxy de puerto netsh dominio.

Comandos Volt Typhoon que crean y luego eliminan un proxy de puerto en un sistema comprometido

Comandos Volt Typhoon que crean y luego eliminan un proxy de puerto en un sistema comprometido

En casos excepcionales, también usan versiones personalizadas de las herramientas de código abierto Impacket y Fast Reverse Proxy (FRP) para establecer un canal C2 a través del proxy.

Las organizaciones comprometidas observarán el acceso C2 en forma de inicios de sesión exitosos desde direcciones IP inusuales. La misma cuenta de usuario utilizada para estos inicios de sesión puede estar vinculada a la actividad de la línea de comandos que realiza más acceso de credenciales. Microsoft continuará monitoreando Volt Typhoon y rastreando los cambios en su actividad y herramientas.

Entre las industrias afectadas se encuentran las comunicaciones, la manufactura, los servicios públicos, el transporte, la construcción, la marítima, el gobierno, la tecnología de la información y la educación. Los avisos brindan orientación para desinfectar cualquier red que se haya visto comprometida.

Leave a Reply

Your email address will not be published. Required fields are marked *