De acuerdo a Black Lotus Labs, una unidad de Lumen Technologies Inc., hackers chinos atacaron empresas de internet de EE.UU. y la India. Se trataría de Volt Typhoon, una campaña de ciberespionaje china patrocinada por el estado, la cual habría aprovechado una vulnerabilidad en una empresa emergente con sede en California para infiltrarse en los sistemas de las compañías.
El ataque de los hackers chinos
Volt Typhoon ha atacado a cuatro empresas estadounidenses, incluidas algunas proveedoras de servicios de Internet, y a otra en India mediante una vulnerabilidad en un producto de servidor de Versa Networks, de acuerdo con Black Lotus Labs, la unidad de Lumen Technologies Inc. Su evaluación, publicada en gran parte en una entrada de blog el martes, determinó con “confianza moderada” que Volt Typhoon estaba detrás de los ataques a los sistemas de Versa que no habían sido actualizados, y señaló que la explotación probablemente sigue en curso.
Versa, que desarrolla software para la gestión de configuraciones de red y ha recibido inversiones de Blackrock Inc. y Sequoia Capital, informó sobre la falla la semana pasada y ofreció un parche junto con otras medidas de mitigación.
Esta revelación aumentará las preocupaciones sobre la vulnerabilidad de la infraestructura crítica de EE. UU. frente a los ciberataques. Este año, Estados Unidos acusó a Volt Typhoon de penetrar en redes que gestionan servicios esenciales, incluidos sectores como el suministro de agua, la red eléctrica y las comunicaciones del país, con la intención de provocar interrupciones en una posible crisis futura, como una invasión de Taiwán.
La amenaza de Volt Typhoon
Liu Pengyu, portavoz de la embajada china en Washington, declaró en un correo electrónico que “‘Volt Typhoon’ es en realidad un grupo cibercriminal de ransomware que se autodenomina ‘Dark Power’ y no está patrocinado por ningún estado o región”.
Añadió que China ha observado indicios de que la comunidad de inteligencia estadounidense ha colaborado en secreto con empresas de ciberseguridad para acusar falsamente a China de respaldar ciberataques contra Estados Unidos como parte de un esfuerzo por aumentar los presupuestos del Congreso y obtener contratos gubernamentales. Bloomberg no pudo verificar esas afirmaciones.
Lumen compartió sus descubrimientos con Versa a finales de junio, según Lumen y los documentos de respaldo proporcionados a Bloomberg.
Versa, con sede en Santa Clara, California, indicó que había lanzado un parche de emergencia para la vulnerabilidad a finales de junio, pero que no comenzó a informar del problema a los clientes hasta julio, cuando uno de ellos notificó que había sido víctima de una infracción. Versa afirmó que dicho cliente, cuya identidad no fue revelada, no había seguido las pautas publicadas previamente sobre cómo proteger sus sistemas mediante reglas de firewall y otras medidas.
Dan Maier, director de marketing de Versa, señaló en un correo electrónico el lunes que las pautas de 2015 recomendaban a los clientes bloquear el acceso a Internet a un puerto específico, algo que ese cliente no había implementado. Desde el año pasado, comentó, Versa ha adoptado medidas para que el sistema sea “seguro por defecto”, de modo que los clientes ya no queden expuestos a ese riesgo incluso si no han seguido las recomendaciones de la empresa.
La vulnerabilidad ha sido catalogada con una calificación de gravedad “alta”, según la Base de Datos Nacional de Vulnerabilidades. El viernes, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) ordenó a las agencias federales que aplicaran los parches a los productos de Versa o dejaran de utilizarlos antes del 13 de septiembre.
Se ha explotado esta vulnerabilidad en al menos un caso conocido por un grupo sofisticado de hackers, indicó Versa en un blog el lunes. La empresa no identificó al grupo y, el viernes, dijo a Bloomberg que no conocía la identidad.
La campaña defensiva de las autoridades estadounidenses
Microsoft Corp. identificó y dio a conocer la campaña Volt Typhoon en mayo de 2023. Desde su descubrimiento, las autoridades estadounidenses han instado a las empresas y servicios públicos a mejorar sus registros para ayudar a detectar y eliminar a los hackers, quienes aprovechan las vulnerabilidades para acceder a los sistemas y pueden permanecer sin ser detectados durante largos períodos.
El gobierno chino ha negado las acusaciones estadounidenses, afirmando que los ataques de hacking atribuidos a Volt Typhoon son obra de ciberdelincuentes. En enero, Jen Easterly, directora de la CISA, informó al Congreso sobre la actividad cibernética maliciosa y advirtió que Estados Unidos solo ha descubierto una pequeña parte de las víctimas potenciales y que el objetivo de China es crear un “pánico social”.
Las agencias estadounidenses, como la CISA, la Agencia de Seguridad Nacional y el FBI, informaron en febrero que las actividades de Volt Typhoon se remontan al menos a cinco años atrás y han tenido como objetivo los sistemas de comunicaciones, energía, transporte, agua y aguas residuales.
Lumen detectó el código malicioso por primera vez en junio, según Michael Horka, investigador de Lumen. Una muestra de malware cargada desde Singapur el 7 de junio presentaba las características de Volt Typhoon, comentó en una entrevista.
Horka, exinvestigador cibernético del FBI que se unió a Lumen en 2023 tras trabajar en casos relacionados con Volt Typhoon para el gobierno federal, explicó que el código era un shell web que permitía a los hackers acceder a la red de un cliente mediante credenciales legítimas y luego actuar como si fueran usuarios legítimos.
Te puede interesar: China comenzó a formar su propia constelación de satélites para competir con Starlink