De acuerdo a Black Lotus Labs, una unidad de Lumen Technologies Inc., hackers chinos atacaron empresas de internet de EE.UU. y la India. Se tratarรญa de Volt Typhoon, una campaรฑa de ciberespionaje china patrocinada por el estado, la cual habrรญa aprovechado una vulnerabilidad en una empresa emergente con sede en California para infiltrarse en los sistemas de las compaรฑรญas.
El ataque de los hackers chinos
Volt Typhoon ha atacado a cuatro empresas estadounidenses, incluidas algunas proveedoras de servicios de Internet, y a otra en India mediante una vulnerabilidad en un producto de servidor de Versa Networks, de acuerdo con Black Lotus Labs, la unidad de Lumen Technologies Inc. Su evaluaciรณn, publicada en gran parte en una entrada de blog el martes, determinรณ con “confianza moderada” que Volt Typhoon estaba detrรกs de los ataques a los sistemas de Versa que no habรญan sido actualizados, y seรฑalรณ que la explotaciรณn probablemente sigue en curso.
Versa, que desarrolla software para la gestiรณn de configuraciones de red y ha recibido inversiones de Blackrock Inc. y Sequoia Capital, informรณ sobre la falla la semana pasada y ofreciรณ un parche junto con otras medidas de mitigaciรณn.
Esta revelaciรณn aumentarรก las preocupaciones sobre la vulnerabilidad de la infraestructura crรญtica de EE. UU. frente a los ciberataques. Este aรฑo, Estados Unidos acusรณ a Volt Typhoon de penetrar en redes que gestionan servicios esenciales, incluidos sectores como el suministro de agua, la red elรฉctrica y las comunicaciones del paรญs, con la intenciรณn de provocar interrupciones en una posible crisis futura, como una invasiรณn de Taiwรกn.
La amenaza de Volt Typhoon
Liu Pengyu, portavoz de la embajada china en Washington, declarรณ en un correo electrรณnico que โโVolt Typhoonโ es en realidad un grupo cibercriminal de ransomware que se autodenomina โDark Powerโ y no estรก patrocinado por ningรบn estado o regiรณnโ.
Aรฑadiรณ que China ha observado indicios de que la comunidad de inteligencia estadounidense ha colaborado en secreto con empresas de ciberseguridad para acusar falsamente a China de respaldar ciberataques contra Estados Unidos como parte de un esfuerzo por aumentar los presupuestos del Congreso y obtener contratos gubernamentales. Bloomberg no pudo verificar esas afirmaciones.
Lumen compartiรณ sus descubrimientos con Versa a finales de junio, segรบn Lumen y los documentos de respaldo proporcionados a Bloomberg.
Versa, con sede en Santa Clara, California, indicรณ que habรญa lanzado un parche de emergencia para la vulnerabilidad a finales de junio, pero que no comenzรณ a informar del problema a los clientes hasta julio, cuando uno de ellos notificรณ que habรญa sido vรญctima de una infracciรณn. Versa afirmรณ que dicho cliente, cuya identidad no fue revelada, no habรญa seguido las pautas publicadas previamente sobre cรณmo proteger sus sistemas mediante reglas de firewall y otras medidas.
Dan Maier, director de marketing de Versa, seรฑalรณ en un correo electrรณnico el lunes que las pautas de 2015 recomendaban a los clientes bloquear el acceso a Internet a un puerto especรญfico, algo que ese cliente no habรญa implementado. Desde el aรฑo pasado, comentรณ, Versa ha adoptado medidas para que el sistema sea “seguro por defecto”, de modo que los clientes ya no queden expuestos a ese riesgo incluso si no han seguido las recomendaciones de la empresa.
La vulnerabilidad ha sido catalogada con una calificaciรณn de gravedad “alta”, segรบn la Base de Datos Nacional de Vulnerabilidades. El viernes, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglรฉs) ordenรณ a las agencias federales que aplicaran los parches a los productos de Versa o dejaran de utilizarlos antes del 13 de septiembre.
Se ha explotado esta vulnerabilidad en al menos un caso conocido por un grupo sofisticado de hackers, indicรณ Versa en un blog el lunes. La empresa no identificรณ al grupo y, el viernes, dijo a Bloomberg que no conocรญa la identidad.
La campaรฑa defensiva de las autoridades estadounidenses
Microsoft Corp. identificรณ y dio a conocer la campaรฑa Volt Typhoon en mayo de 2023. Desde su descubrimiento, las autoridades estadounidenses han instado a las empresas y servicios pรบblicos a mejorar sus registros para ayudar a detectar y eliminar a los hackers, quienes aprovechan las vulnerabilidades para acceder a los sistemas y pueden permanecer sin ser detectados durante largos perรญodos.
El gobierno chino ha negado las acusaciones estadounidenses, afirmando que los ataques de hacking atribuidos a Volt Typhoon son obra de ciberdelincuentes. En enero, Jen Easterly, directora de la CISA, informรณ al Congreso sobre la actividad cibernรฉtica maliciosa y advirtiรณ que Estados Unidos solo ha descubierto una pequeรฑa parte de las vรญctimas potenciales y que el objetivo de China es crear un “pรกnico social”.
Las agencias estadounidenses, como la CISA, la Agencia de Seguridad Nacional y el FBI, informaron en febrero que las actividades de Volt Typhoon se remontan al menos a cinco aรฑos atrรกs y han tenido como objetivo los sistemas de comunicaciones, energรญa, transporte, agua y aguas residuales.
Lumen detectรณ el cรณdigo malicioso por primera vez en junio, segรบn Michael Horka, investigador de Lumen. Una muestra de malware cargada desde Singapur el 7 de junio presentaba las caracterรญsticas de Volt Typhoon, comentรณ en una entrevista.
Horka, exinvestigador cibernรฉtico del FBI que se uniรณ a Lumen en 2023 tras trabajar en casos relacionados con Volt Typhoon para el gobierno federal, explicรณ que el cรณdigo era un shell web que permitรญa a los hackers acceder a la red de un cliente mediante credenciales legรญtimas y luego actuar como si fueran usuarios legรญtimos.
Te puede interesar: China comenzรณ a formar su propia constelaciรณn de satรฉlites para competir con Starlink
