Microsoft y las agencias de inteligencia de las naciones “Five Eyes” revelaron recientemente que un grupo con base en China, rastreado bajo el nombre de Volt Typhoon, infiltró de forma indetectada organizaciones de infraestructuras críticas en los EE.UU. y Guam. Activo desde junio de 2021, este actor patrocinado por el estado se enfoca en el espionaje y la recopilación de información. Utilizan herramientas ya instaladas o incorporadas en máquinas infectadas para permanecer indetectados, apuntando a sectores como las comunicaciones, la manufactura, los servicios públicos, el transporte, la construcción, el sector marítimo, el gobierno, la tecnología de la información y la educación.
Microsoft cree moderadamente que la campaña está desarrollando capacidades que podrían interrumpir la infraestructura de comunicaciones críticas entre los Estados Unidos y Asia durante futuras crisis. El grupo emplea técnicas de vivir-de-la-tierra (LotL) para exfiltrar datos de aplicaciones de navegadores web locales y aprovechar credenciales robadas para el acceso de puerta trasera. Además, dirigen el tráfico a través de equipos de red comprometidos de pequeñas oficinas y oficinas en casa (SOHO), incluyendo routers, firewalls y hardware VPN.
También se ha observado que el grupo utiliza versiones personalizadas de herramientas de código abierto para establecer un canal de comando y control (C2) a través de servidores proxy y comprometidos en su red proxy C2 para ocultar el origen de los ataques. En un incidente notable, el grupo violó las redes de telecomunicaciones en la isla de Guam, un sensible puesto militar estadounidense en el Océano Pacífico, e instaló una shell web maliciosa.
El vector de entrada inicial implica explotar dispositivos Fortinet FortiGuard orientados a Internet a través de un defecto de día cero desconocido, aunque Volt Typhoon también ha armado defectos en los servidores Zoho ManageEngine. Microsoft ha estado ayudando a los clientes objetivo o comprometidos a asegurar sus entornos, pero advierte que mitigar tales riesgos puede ser desafiante cuando los actores de amenazas utilizan cuentas válidas y binarios vivir-de-la-tierra (LOLBins).
Secureworks, que rastrea al grupo de amenazas como Bronze Silhouette, señaló la cuidadosa seguridad operativa del grupo y la dependencia de la infraestructura comprometida para prevenir la detección y atribución de su actividad de intrusión. Esta revelación coincide con el informe de Reuters que indica que hackers chinos apuntaron al gobierno de Kenia en una serie de ataques que duraron tres años, supuestamente para obtener información sobre la deuda de Kenia con Beijing. Se sospecha que la ofensiva digital fue llevada a cabo por BackdoorDiplomacy (también conocido como APT15, Playful Taurus o Vixen Panda), un grupo conocido por apuntar a entidades gubernamentales y diplomáticas en varias regiones desde 2010.
Source: Hackernews
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.