Cientos de enrutadores han sido desactivados en Estados Unidos en un esfuerzo por acabar con una campaña de ciberespionaje llevada a cabo por Volt Typhoon, un grupo de piratas informáticos asociado con el gobierno chino. El Departamento de Justicia de EE. UU. (DoJ) anunció el 31 de enero de 2024 que el FBI dirigió una operación policial en diciembre de 2023 para interrumpir una red de cientos de dispositivos conectados. Estos dispositivos, comúnmente conocidos como enrutadores para pequeñas oficinas/oficinas domésticas (SOHO), habían sido secuestrados por el grupo de amenazas persistentes avanzadas (APT) Volt Typhoon, que luego los infectó con el malware KV Botnet. Volt Typhoon utilizó enrutadores Cisco y NetGear obsoletos El Departamento de Justicia reveló que la mayoría de los enrutadores que formaban parte de la red de piratería Volt Typhoon eran enrutadores Cisco y NetGear. Estos enrutadores eran vulnerables porque habían llegado al final de su vida útil, lo que significaba que ya no eran compatibles con los parches de seguridad de sus fabricantes u otras actualizaciones de software. «La operación autorizada por el tribunal eliminó el malware KV Botnet de los enrutadores y tomó medidas adicionales para cortar su conexión a la botnet, como bloquear las comunicaciones con otros dispositivos utilizados para controlar la botnet», añadió el Departamento de Justicia. En declaraciones a Infosecurity, Ian McGowan, director general de Barrier Networks, dijo que el uso por parte de Volt Typhoon de dispositivos cotidianos obsoletos con fines de espionaje de estados-nación debería ser una llamada de atención para los fabricantes. “La verdadera conclusión de este anuncio para las organizaciones son los peligros de los dispositivos inseguros o al final de su vida útil en sus redes. Cuando se utilizan equipos al final de su vida útil en entornos críticos, esto puede brindar oportunidades fáciles para los atacantes. Por lo tanto, las organizaciones deben tomar medidas para protegerlos o actualizarlos”. James McQuiggan, defensor de la concienciación sobre la seguridad en KnowBe4, estuvo de acuerdo: «Estas tecnologías más antiguas a menudo carecen de las últimas características de seguridad, lo que las hace disponibles para ataques. La lucha entre los costos financieros y operativos versus la necesidad de actualizar los sistemas al final de su vida útil versus el precio de una violación de datos debería ser una obviedad, pero la atención se centra principalmente en el aquí y el ahora, en lugar de mantener una postura sólida en materia de ciberseguridad”. Su colega, Roger Grimes, evangelista de la defensa basada en datos en KnowBe4, insistió en que, aunque “explotar el firmware es más fácil que explotar el software, […] Actualizar el firmware es inherentemente incluso más difícil que actualizar el software”. Por lo tanto, la seguridad del firmware debería ser una prioridad absoluta para los fabricantes, según Grimes. El objetivo principal del Volt Typhoon de infraestructura crítica de EE. UU. La infección de los enrutadores con la KV Botnet permitió a los piratas informáticos chinos evitar ser detectados para llevar a cabo más actividades de piratería dirigidas contra víctimas estadounidenses y otras víctimas extranjeras. Estas actividades incluyeron una campaña dirigida a organizaciones de infraestructura crítica en EE. UU. y otros lugares que fue objeto de un aviso conjunto en mayo de 2023 por parte del FBI, la NSA, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y socios extranjeros. La misma actividad ha sido objeto de avisos a socios del sector privado en mayo y diciembre de 2023 por parte de Microsoft y Lumen, respectivamente. CISA publicó una alerta complementaria de seguridad por diseño junto con el anuncio del Departamento de Justicia el 31 de enero. La Fiscal General Adjunta de los Estados Unidos, Lisa O. Monaco, comentó: “Al eliminar la KV Botnet de cientos de enrutadores en todo el país, el Departamento de Justicia está utilizando todos sus recursos. herramientas para interrumpir las amenazas a la seguridad nacional, en tiempo real”. Lea más: China se prepara para perturbar la infraestructura crítica de EE. UU. con ataques cibernéticos, advierte Microsoft ¿Quién está detrás del Volt Typhoon? Volt Typhoon, también conocido como Bronze Silhouette, Insidious Taurus, Vanguard Panda y APT41, es un grupo de ciberespionaje vinculado al gobierno chino. Aunque la evidencia concreta es escasa, se sospecha ampliamente que Volt Typhoon está afiliado al Ministerio de Seguridad del Estado (MSS) de China. Este vínculo se basa en los patrones de orientación, las técnicas y el nivel de sofisticación empleado en sus operaciones del grupo. Han participado activamente en campañas maliciosas dirigidas a infraestructura crítica, principalmente en los EE. UU., desde al menos mediados de 2021. Volt Typhoon a menudo utiliza técnicas de subsistencia, aprovechando herramientas legítimas del sistema con fines maliciosos. Sus campañas más recientes se dirigieron a organizaciones de los sectores de comunicaciones, fabricación, servicios públicos, transporte, construcción, marítimo, gubernamental, tecnología de la información y educación. En el informe de Microsoft de mayo de 2023, el gigante tecnológico evaluó que las campañas de Volt Typhoon perseguían el desarrollo de capacidades que podrían interrumpir las comunicaciones críticas. infraestructura entre Estados Unidos y la región de Asia durante futuras crisis. Según John Hultquist, director de Mandiant en Google Cloud, la botnet KV de Volt Typhoon es consistente con técnicas, tácticas y procedimientos (TTP) observados previamente y empleados por actores de amenazas de estados-nación. «En este momento, no hemos observado que los actores manipulen la tecnología operativa (OT). Su objetivo parece persistir en estas redes hasta que se les dé la orden de alterar los sistemas. Hemos aprendido de varios incidentes rusos que hay una variedad de formas de derribar la tecnología operativa, que van desde la manipulación cuidadosa hasta los ataques de limpieza», comentó Hultquist. «Estos incidentes parecen centrarse en la infraestructura crítica que apoya a las fuerzas estadounidenses. Los defensores tendrán que trabajar duro para detectar las técnicas de este actor, que son muy centrado en permanecer fuera del radar». El director del FBI, Christopher Wray, comentó: “El malware Volt Typhoon permitió a China esconderse mientras atacaba nuestros sectores de comunicaciones, energía, transporte y agua. Su posicionamiento previo constituye una amenaza potencial en el mundo real a nuestra seguridad física que el FBI no va a tolerar. Vamos a seguir trabajando con nuestros socios para golpear duramente y temprano a la República Popular China (RPC) cada vez que los veamos amenazar a los estadounidenses”. El Departamento de Justicia tranquiliza al público sobre la operación de desconexión del enrutador En su anuncio, el Departamento de Justicia insistió en que la operación gubernamental se llevó a cabo con especial cuidado para la seguridad y privacidad de los propietarios originales de los enrutadores. «La operación no afectó las funciones legítimas de los enrutadores pirateados ni recopiló información sobre el contenido de los mismos», insistió el Departamento de Justicia. “Además, las medidas autorizadas por el tribunal para desconectar los enrutadores de KV Botnet y evitar la reinfección son de naturaleza temporal. El propietario de un enrutador puede revertir estos pasos de mitigación reiniciando el enrutador. Sin embargo, un reinicio que no va acompañado de medidas de mitigación similares a las que autorizó la orden judicial hará que el enrutador sea vulnerable a la reinfección”. El FBI se ha puesto en contacto con todos los propietarios cuya información de contacto estaba disponible. Para otros propietarios, la Oficina se puso en contacto con vendedores o proveedores de servicios de Internet (ISP) y les pidió que notificaran a las víctimas. La cooperación público-privada había sido crucial para el éxito de la operación general, afirmó Mónaco. McGowan de Barrier Networks compartió con Infosecurity lo impresionado que estaba por la escala de la operación. «Este último anuncio del FBI refuerza las poderosas herramientas que Estados Unidos tiene a su disposición para desbaratar la actividad del cibercrimen», afirmó. “A través de una orden judicial, el FBI obtuvo acceso a los enrutadores comprometidos y eliminó el malware que se había utilizado para reclutarlos en una botnet. Esta habría sido una operación enorme y refuerza la determinación del país de contraatacar a los adversarios del Estado-nación”.

Source link