Volt Typhoon APT amenaza la infraestructura crítica global

junio 16, 2023

Volt Typhoon APT amenaza la infraestructura crítica global

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.

Volt Typhoon APT es un actor de amenazas de estado-nación (NSTA) que se atribuye a la República Popular China (RPC). Se ha identificado que la NSTA está activamente involucrada en actividades que afectan las redes en la infraestructura crítica de los EE. UU. y es posible que también se haya extendido a otros países e industrias.

Se sabe que Volt Typhoon APT utiliza una variedad de técnicas para comprometer y mantener el acceso a las redes de las víctimas, que incluyen:

Living off the land (LOL): esta técnica implica el uso de herramientas y utilidades legítimas del sistema para llevar a cabo tareas maliciosas. Esto dificulta que los defensores detecten y bloqueen la actividad, ya que no implica el uso de herramientas personalizadas o sospechosas.

Spear phishing: esta técnica implica el envío de correos electrónicos dirigidos específicamente a personas dentro de una organización en particular. Los correos electrónicos a menudo contienen archivos adjuntos maliciosos o enlaces que, al hacer clic, instalarán malware en la computadora de la víctima.

Watering hole attacks: esta técnica involucra sitios web comprometidos que se sabe que son frecuentados por personas dentro de una organización en particular. Una vez que el sitio web se ha visto comprometido, la NSTA inyectará un código malicioso en el sitio web que se ejecutará cuando la víctima visite el sitio.

Se cree que el Volt Typhoon APT está principalmente interesado en recopilar inteligencia sobre infraestructura crítica y otras industrias sensibles. Se sabe que la NSTA se dirige a organizaciones de los sectores de las telecomunicaciones, el transporte, la construcción, la marina y la educación.

En mayo de 2023, el gobierno de EE. UU. emitió un aviso de ciberseguridad conjunto con Australia, Nueva Zelanda, Canadá y el Reino Unido advirtiendo sobre el Volt Typhoon APT. El aviso instó a las organizaciones a tomar medidas para protegerse de la NSTA, que incluyen:

Implementar fuertes controles de seguridad: esto incluye el uso de autenticación multifactor, implementar el cifrado de datos y mantener el software actualizado.

Capacitar a los empleados en ciberseguridad: los empleados deben conocer los diferentes tipos de ciberataques y cómo protegerse de ellos.

Monitoreo de actividad sospechosa: las organizaciones deben tener un sistema para monitorear actividad sospechosa en sus redes. Esto incluye buscar cosas como inicios de sesión inusuales, acceso no autorizado a datos confidenciales y cambios en las configuraciones de la red.

El Volt Typhoon APT es una seria amenaza para las organizaciones en los EE. UU. y en todo el mundo. Al tomar medidas para protegerse, las organizaciones pueden ayudar a mitigar el riesgo de un ataque exitoso.

Volt Typhoon APT se ha relacionado con una serie de ataques contra organizaciones en los EE. UU. y en todo el mundo. Algunas de las víctimas conocidas incluyen:

Microsoft: en mayo de 2023, Microsoft publicó un informe que encontró que Volt Typhoon se había dirigido a las redes de la empresa en 2021. La NSTA pudo obtener acceso a los sistemas de Microsoft y robar datos, incluido el código fuente y la información del cliente.

Fortinet: en abril de 2022, Fortinet anunció que Volt Typhoon había apuntado a sus dispositivos de seguridad de red FortiGuard. La NSTA pudo explotar una vulnerabilidad en los dispositivos para obtener acceso a las redes de los clientes.

Daikin: En febrero de 2022, Daikin, un fabricante japonés de aire acondicionado, anunció que Volt Typhoon lo había atacado. La NSTA pudo robar datos de las redes de Daikin, incluida la información del cliente y la propiedad intelectual.

Tata Steel: en enero de 2022, Tata Steel, un fabricante indio de acero, anunció que Volt Typhoon lo había atacado. La NSTA pudo robar datos de las redes de Tata Steel, incluida la información del cliente y los datos de producción.

Estas son solo algunas de las víctimas conocidas de Volt Typhoon APT. Es probable que la NSTA también haya apuntado a otras organizaciones.

Volt Typhoon APT es relevante y peligroso hoy en día porque utiliza una variedad de técnicas para comprometer y mantener el acceso a las redes de las víctimas, lo que dificulta que los defensores detecten y bloqueen la actividad.

Estas son algunas de las razones por las que Volt Typhoon APT es relevante y peligroso hoy en día:

La NSTA es sofisticada y cuenta con buenos recursos. Tienen las habilidades y los recursos para llevar a cabo ataques complejos a organizaciones con fuertes medidas de seguridad.

La NSTA está motivada por intereses de seguridad nacional. Esto significa que es probable que estén dispuestos a correr riesgos y utilizar tácticas más agresivas que otros actores de amenazas.

La NSTA está apuntando a la infraestructura crítica. Esto significa que tienen el potencial de causar un daño significativo a la economía y la seguridad nacional.

Es importante tener en cuenta que Volt Typhoon es un actor de amenazas sofisticado y las organizaciones deben tomar medidas para protegerse de los ataques. Esto incluye implementar fuertes controles de seguridad, capacitar a los empleados en ciberseguridad y monitorear actividades sospechosas.

Para más información, visite: https://www.silikn.com/