Agencias de ciberseguridad de EE.UU. alertan ante compromiso persistente de infraestructura crítica en ese país por parte de entidad asociada al Estado chino

Actores asociados al estado de la República Popular China, conocidos como Volt Typhoon, buscan ingresar a redes TI para realizar ciberataques disruptivos o destructivos contra infraestructura crítica en EE.UU., en el caso de una crisis de gran envergadura o conflicto con EE.UU.

Alerta-de-Seguridad-1.png

En Estados Unidos, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Agencia Nacional de Seguridad (NSA) y el Buró Federal de Investigaciones (FBI) alertaron a la comunidad sobre actores asociados al Estado de la República Popular China, conocidos como Volt Typhoon, que buscan ingresar a redes TI para realizar ciberataques disruptivos o destructivos contra infraestructura crítica en EE.UU., en el caso de una crisis de gran envergadura o conflicto con EE.UU. 

El comunicado de la CISA, la NSA y el FBI: https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a

Estas agencias en EE.UU. aseguran haber confirmado que Volt Typhoon ha comprometido los ambientes TI de múltiples organizaciones de infraestructura crítica, principalmente en los sectores de comunicaciones, energía, transporte y aguas. Según las agencias, el comportamiento y las organizaciones objetivo de Volt Typhoon no son consistentes con operaciones de ciberespionaje o recopilación de inteligencia, por lo que juzgan con alto nivel de confianza que estos actores se posicionan preventivamente dentro de estas redes TI para permitir movimientos laterales hacia el OT y así perturbar sus funciones. 

En su alerta, las agencias urgen a las organizaciones de infraestructura crítica a aplicar mitigaciones y a buscar actividad maliciosa similar. 

Entre las características del comportamiento de Volt Typhoon identificadas por las agencias están el uso de técnicas tipo “living off the land” (LOTL) al atacar infraestructura crítica. También mencionan que el grupo malicioso depende de cuentas válidas y aprovecha la seguridad operacional fuerte, las que combinadas les permiten mantener una persistencia no detectada a largo plazo, con ejemplos descubiertos de al menos cinco años.  

Además, indicaron que los actores conocidos como Volt Typhoon llevan a cabo un extensivo reconocimiento previo a la explotación, para aprender de la organización objetivo y su ambiente, ajustar sus tácticas, técnicas y procedimientos (TTP) al ambiente de la víctima y dedicar recursos a mantener persistencia y entender el ambiente objetivo a través del tiempo, incluso después de su compromiso inicial. 

Estos son algunos IoC compartidos por las agencias y relacionados con este grupo malicioso (también publicados por CISA aquí: https://www.cisa.gov/news-events/analysis-reports/ar24-038a).

Nombre del archivo Descripción MD5 Hashes (SHA256)
BrightmetricAgent.exe The file is an FRP that could be used to reveal servers situated behind a network firewall or obscured through Network Address Translation (NAT). fd41134e8ead1c18ccad27c62a260aa6 edc0c63065e88ec96197c8d7a40662a15a812a9583dc6c82b18ecd7e43b13b70
SMSvcService.exe The file is a Windows executable «FRPC” designed to open a reverse proxy between the compromised system and the threat actor(s) C2 server. b1de37bf229890ac181bdef1ad8ee0c2 99b80c5ac352081a64129772ed5e1543d94cad708ba2adc46dc4ab7a0bd563f1

Más información sobre las características y comportamiento de Volt Typhoon, en los siguientes enlaces:

https://www.cisa.gov/news-events/analysis-reports/ar24-038a

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a