Volt Typhoon (también conocido como BRONZE SILHOUETTE , Dev-0391 , Insidious Taurus , Storm-0391 , UNC3236 , VANGUARD PANDA o VOLTZITE ) es una amenaza persistente avanzada que, según el gobierno de los EE. UU., se dedica al ciberespionaje en nombre de la República Popular China . Activo desde al menos mediados de 2021, se sabe que el grupo ataca principalmente a los sectores de fabricación, servicios públicos, transporte, construcción, marítimo, defensa, tecnología de la información y educación de los Estados Unidos . Volt Typhoon se centra en el espionaje, el robo de datos y el acceso a credenciales. [1]
Según Microsoft , el grupo hace todo lo posible para evitar ser detectado y sus campañas priorizan las capacidades que permiten a China sabotear la infraestructura de comunicaciones crítica entre los EE. UU. y Asia durante posibles crisis futuras. [1] El gobierno de los EE. UU. cree que el objetivo del grupo es frenar cualquier posible movilización militar estadounidense que pueda producirse tras una invasión china de Taiwán . [2]
Sin embargo, China criticó al Tifón Volt por ser una conspiración de " falsa bandera " organizada por el gobierno de Estados Unidos para exagerar la "amenaza de China" a través de informes analíticos. [3] [4]
Volt Typhoon es el nombre que Microsoft le ha asignado actualmente al grupo y es el nombre más utilizado para el grupo. El grupo también ha sido conocido de diversas formas: [5]
Según una publicación conjunta de todas las agencias de ciberseguridad e inteligencia de señales de Five Eyes , las principales tácticas, técnicas y procedimientos (TTP) de Volt Typhoon incluyen vivir de la tierra, usar herramientas de administración de red integradas para realizar sus objetivos y mimetizarse con las actividades normales del sistema y la red de Windows . Esta táctica evita los programas de detección y respuesta de puntos finales (EDR) que alertarían sobre la introducción de aplicaciones de terceros en el host y limita la cantidad de actividad capturada en las configuraciones de registro predeterminadas. Algunas de las herramientas integradas que utiliza Volt Typhoon son: wmic , ntdsutil, netsh y Powershell . [7]
El grupo utiliza inicialmente software malicioso que penetra en los sistemas conectados a Internet explotando vulnerabilidades como contraseñas de administrador débiles, inicios de sesión predeterminados de fábrica y dispositivos que no se han actualizado regularmente. [8] Una vez que obtienen acceso a un objetivo, ponen un fuerte énfasis en el sigilo, confiando casi exclusivamente en técnicas de vida de la tierra y actividad práctica con el teclado. [8]
Volt Typhoon rara vez utiliza malware en su actividad posterior al ataque. En cambio, emiten comandos a través de la línea de comandos para recopilar primero datos, incluidas las credenciales de los sistemas locales y de red, colocar los datos en un archivo para prepararlos para la exfiltración y luego usar las credenciales válidas robadas para mantener la persistencia. [1] [9] Algunos de estos comandos parecen ser exploratorios o experimentales, ya que los operadores los ajustan y repiten varias veces. Además, Volt Typhoon intenta integrarse en la actividad normal de la red al enrutar el tráfico a través de equipos de red de pequeñas oficinas y oficinas domésticas comprometidos, incluidos enrutadores, firewalls y hardware VPN . [10] También se ha observado que utilizan versiones personalizadas de herramientas de código abierto para establecer un canal de comando y control (C2) a través de proxy para ocultarse aún más. [1] [8]
En muchos sentidos, Volt Typhoon funciona de manera similar a los operadores de botnets tradicionales , ya que toma el control de dispositivos vulnerables, como enrutadores y cámaras de seguridad, para ocultarse y establecer una base de operaciones antes de usar ese sistema para lanzar futuros ataques. Al operar de esta manera, a los defensores de la ciberseguridad les resulta difícil identificar con precisión el origen de un ataque. [8]
Según Secureworks (una división de Dell ), el interés de Volt Typhoon en la seguridad operativa "probablemente surgió de la vergüenza por el redoble de acusaciones estadounidenses [contra piratas informáticos respaldados por el estado chino] y la creciente presión de los líderes chinos para evitar el escrutinio público de su actividad de ciberespionaje". [11]
El gobierno de Estados Unidos ha detectado repetidamente actividad en sistemas de Estados Unidos y Guam diseñados para recopilar información sobre infraestructura crítica y capacidades militares de Estados Unidos, pero Microsoft y las agencias dijeron que los ataques podrían ser una preparación para un futuro ataque a la infraestructura crítica de Estados Unidos. [1]
En enero de 2024, el FBI anunció que había interrumpido las operaciones de Volt Typhoon al realizar operaciones autorizadas por el tribunal para eliminar malware de los enrutadores de víctimas con base en EE. UU. y tomar medidas para prevenir la reinfección. [12]
El gobierno chino negó su participación en el Tifón Volt y afirmó que se trata de una campaña de desinformación organizada por agencias de inteligencia estadounidenses. [13]