El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, junto con las agencias de inteligencia de la alianza anglófona Five Eyes, ha emitido una guía que destaca una campaña de actividad patrocinada por el estado chino dirigida a las redes de infraestructura nacional crítica (CNI).
Trabajando junto con Microsoft, que ha atribuido la campaña de actividad maliciosa a un actor de amenazas persistente avanzado que ha denominado Volt Typhoon y que recientemente revisó su taxonomía de nombres de actores de amenazas, la divulgación de la comunidad de inteligencia incluye indicadores técnicos de compromiso y ejemplos de tácticas, técnicas y procedimientos. siendo utilizado por el grupo.
“Es vital que los operadores de infraestructura nacional crítica tomen medidas para evitar que los atacantes se escondan en sus sistemas, como se describe en este aviso conjunto con nuestros socios internacionales”, dijo Paul Chichester, director de operaciones de NCSC.
“Recomendamos encarecidamente a los proveedores de servicios esenciales del Reino Unido que sigan nuestra guía para ayudar a detectar esta actividad maliciosa y evitar un compromiso persistente”.
Según Microsoft, Volt Typhoon ha estado activo durante aproximadamente dos años y se ha dirigido a múltiples operadores de CNI en el territorio de la isla de Guam en el Pacífico de los EE. UU., así como en los propios EE. UU. Las organizaciones objetivo incluyen proveedores de servicios de comunicaciones, fabricantes, empresas de servicios públicos, operadores de transporte, empresas de construcción, empresas de TI, instituciones educativas y organismos gubernamentales.
De acuerdo a El New York Timesel enfoque en Guam es particularmente preocupante dada la proximidad del territorio a Taiwán y su valor para EE. UU. en el montaje de una respuesta militar en defensa de Taiwán en caso de que China lo ataque.
Microsoft dijo que en base al comportamiento que ha observado, Volt Typhoon “pretende realizar espionaje y mantener el acceso sin ser detectado durante el mayor tiempo posible”.
Tiende a acceder a las redes de sus víctimas a través de dispositivos Fortinet FortiGuard vulnerables y, posteriormente, se mezcla con la actividad normal de la red al enrutar su tráfico a través de dispositivos de borde de red comprometidos para oficinas pequeñas y domésticas (Soho), incluidos hardware Asus, Cisco, D-Link, Netgear y Zyxel.
Una vez instalado en su red de destino, Volt Typhoon se vuelve particularmente sigiloso y utiliza técnicas y binarios (LOLbins) para extraer datos y credenciales. Esto hace que detectar su actividad sea un desafío particularmente espantoso para los defensores, ya que los LOLbins son herramientas y ejecutables “naturales” en el sistema operativo que se utilizan para fines legítimos.
Marc Burnard, consultor senior de Secureworks para investigación de seguridad de la información y líder temático para China, dijo que el grupo, que Secureworks rastrea como Bronze Silhouette, tiene un “enfoque constante” en la seguridad operativa, minimizando su huella, implementando técnicas avanzadas para evitar la detección y utilizando infraestructura previamente comprometida.
“Piense en un espía encubierto, su objetivo es mezclarse y pasar desapercibido”, dijo. “Esto es exactamente lo que hace Bronze Silhouette al imitar la actividad habitual de la red. Esto sugiere un nivel de madurez operativa y adherencia a un modus operandi diseñado para reducir la probabilidad de detección y atribución de la actividad de intrusión del grupo.
“La incorporación de la seguridad operativa, particularmente cuando se apunta a organizaciones occidentales, es consistente con los compromisos de la red que los investigadores de la CTU han atribuido a los grupos de amenazas chinos en los últimos años”, agregó Burnard.
“Es probable que estos desarrollos comerciales hayan sido impulsados por una serie de acusaciones de alto perfil del Departamento de Justicia de los EE. UU. de ciudadanos chinos supuestamente involucrados en actividades de espionaje cibernético, exposiciones públicas de este tipo de actividad por parte de proveedores de seguridad, lo que probablemente ha resultado en una mayor presión del liderazgo. dentro de la República Popular China para evitar el escrutinio público de su actividad de ciberespionaje.
“Se sabe que China es muy hábil en el espionaje cibernético y Bronze Silhouette destaca su enfoque implacable en la adaptación para lograr su objetivo final de adquirir información confidencial”, dijo.
Guía
Microsoft dijo que las organizaciones que se vean afectadas por Volt Typhoon deben cerrar o cambiar de inmediato las credenciales en todas las cuentas afectadas y examinar su actividad en busca de acciones maliciosas o datos expuestos.
Las organizaciones también tienen varias herramientas a su disposición para defenderse de esta actividad, muchas de las cuales se incluyen en la categoría de higiene básica de ciberseguridad. Éstas incluyen:
- Hacer cumplir las políticas apropiadas de gestión de credenciales y autenticación de múltiples factores;
- Reducir la superficie de ataque al habilitar reglas para bloquear el robo de credenciales, la creación de procesos y la ejecución de scripts potencialmente ofuscados;
- Fortalecimiento del proceso del servicio del subsistema de la autoridad de seguridad local al habilitar la luz de proceso de protección para LSASS en dispositivos con Windows 11 y Credential Guard de Windows Defender si no está habilitado de manera predeterminada;
- Habilitación de protecciones entregadas en la nube disponibles a través de Microsoft Defender Antivirus;
- Ejecutar la detección y respuesta de puntos finales en modo de bloqueo para permitir que Microsoft Defender for Endpoint bloquee artefactos maliciosos incluso si un producto antivirus que no es de Microsoft no los ha detectado.
China contraataca
Mientras tanto, el gobierno de China ha respondido con enojo a las revelaciones, acusando a la alianza Five Eyes de llevar a cabo una campaña de desinformación.
Un portavoz del Ministerio de Relaciones Exteriores de China dijo que el informe era “extremadamente poco profesional” y no estaba respaldado por pruebas suficientes.