Tifón Volt

Presunta amenaza avanzada y persistente de China

Volt Typhoon (también conocido como BRONZE SILHOUETTE , Dev-0391 , Insidious Taurus , Storm-0391 , UNC3236 , VANGUARD PANDA o VOLTZITE ) es una amenaza persistente avanzada que, según el gobierno de los EE. UU., se dedica al ciberespionaje en nombre de la República Popular China . Activo desde al menos mediados de 2021, se sabe que el grupo ataca principalmente a los sectores de fabricación, servicios públicos, transporte, construcción, marítimo, defensa, tecnología de la información y educación de los Estados Unidos . Volt Typhoon se centra en el espionaje, el robo de datos y el acceso a credenciales. ^[1]

Según Microsoft , el grupo hace todo lo posible para evitar ser detectado y sus campañas priorizan las capacidades que permiten a China sabotear la infraestructura de comunicaciones crítica entre los EE. UU. y Asia durante posibles crisis futuras. ^[1] El gobierno de los EE. UU. cree que el objetivo del grupo es frenar cualquier posible movilización militar estadounidense que pueda producirse tras una invasión china de Taiwán . ^[2]

Sin embargo, China criticó al Tifón Volt por ser una conspiración de " falsa bandera " organizada por el gobierno de Estados Unidos para exagerar la "amenaza de China" a través de informes analíticos. ^{[3] [4]}

Nombres

Volt Typhoon es el nombre que Microsoft le ha asignado actualmente al grupo y es el nombre más utilizado para el grupo. El grupo también ha sido conocido de diversas formas: ^[5]

• Dev-0391 (por Microsoft, inicialmente)
• Storm-0391 (por Microsoft, inicialmente)
• SILUETA ​​DE BRONCE (de Secureworks , una subsidiaria de Dell )
• Tauro insidioso (por Palo Alto Networks Unit 42)
• Redfly (de Gen Digital , anteriormente Symantec)
• UNC3236 (de Mandiant , una subsidiaria de Google )
• VANGUARDIA PANDA (por CrowdStrike )
• VOLTZITA (por Dragos) ^[6]

Metodología

Según una publicación conjunta de todas las agencias de ciberseguridad e inteligencia de señales de Five Eyes , las principales tácticas, técnicas y procedimientos (TTP) de Volt Typhoon incluyen vivir de la tierra, usar herramientas de administración de red integradas para realizar sus objetivos y mimetizarse con las actividades normales del sistema y la red de Windows . Esta táctica evita los programas de detección y respuesta de puntos finales (EDR) que alertarían sobre la introducción de aplicaciones de terceros en el host y limita la cantidad de actividad capturada en las configuraciones de registro predeterminadas. Algunas de las herramientas integradas que utiliza Volt Typhoon son: wmic , ntdsutil, netsh y Powershell . ^[7]

El grupo utiliza inicialmente software malicioso que penetra en los sistemas conectados a Internet explotando vulnerabilidades como contraseñas de administrador débiles, inicios de sesión predeterminados de fábrica y dispositivos que no se han actualizado regularmente. ^[8] Una vez que obtienen acceso a un objetivo, ponen un fuerte énfasis en el sigilo, confiando casi exclusivamente en técnicas de vida de la tierra y actividad práctica con el teclado. ^[8]

Volt Typhoon rara vez utiliza malware en su actividad posterior al ataque. En cambio, emiten comandos a través de la línea de comandos para recopilar primero datos, incluidas las credenciales de los sistemas locales y de red, colocar los datos en un archivo para prepararlos para la exfiltración y luego usar las credenciales válidas robadas para mantener la persistencia. ^{[1] [9]} Algunos de estos comandos parecen ser exploratorios o experimentales, ya que los operadores los ajustan y repiten varias veces. Además, Volt Typhoon intenta integrarse en la actividad normal de la red al enrutar el tráfico a través de equipos de red de pequeñas oficinas y oficinas domésticas comprometidos, incluidos enrutadores, firewalls y hardware VPN . ^[10] También se ha observado que utilizan versiones personalizadas de herramientas de código abierto para establecer un canal de comando y control (C2) a través de proxy para ocultarse aún más. ^{[1] [8]}

En muchos sentidos, Volt Typhoon funciona de manera similar a los operadores de botnets tradicionales , ya que toma el control de dispositivos vulnerables, como enrutadores y cámaras de seguridad, para ocultarse y establecer una base de operaciones antes de usar ese sistema para lanzar futuros ataques. Al operar de esta manera, a los defensores de la ciberseguridad les resulta difícil identificar con precisión el origen de un ataque. ^[8]

Según Secureworks (una división de Dell ), el interés de Volt Typhoon en la seguridad operativa "probablemente surgió de la vergüenza por el redoble de acusaciones estadounidenses [contra piratas informáticos respaldados por el estado chino] y la creciente presión de los líderes chinos para evitar el escrutinio público de su actividad de ciberespionaje". ^[11]

Campañas notables

Ataques a la Marina de los EE.UU.

El gobierno de Estados Unidos ha detectado repetidamente actividad en sistemas de Estados Unidos y Guam diseñados para recopilar información sobre infraestructura crítica y capacidades militares de Estados Unidos, pero Microsoft y las agencias dijeron que los ataques podrían ser una preparación para un futuro ataque a la infraestructura crítica de Estados Unidos. ^[1]

Ruptura

En enero de 2024, el FBI anunció que había interrumpido las operaciones de Volt Typhoon al realizar operaciones autorizadas por el tribunal para eliminar malware de los enrutadores de víctimas con base en EE. UU. y tomar medidas para prevenir la reinfección. ^[12]

Respuesta de China

El gobierno chino negó su participación en el Tifón Volt y afirmó que se trata de una campaña de desinformación organizada por agencias de inteligencia estadounidenses. ^[13]

Referencias

1. "El tifón Volt ataca infraestructura crítica de EE. UU. con técnicas de supervivencia en tierra". Microsoft . 2023-05-24 . Consultado el 2024-10-09 .
2. Antoniuk, Daryna (27 de agosto de 2024). "El Volt Typhoon de China apunta a los proveedores de Internet estadounidenses que utilizan el día cero Versa". Recorded Future . Consultado el 9 de octubre de 2024 .
3. "Volt Typhoon II: < Miénteme />" (PDF) . www.cverc.org.cn . 2024-10-15 . Consultado el 2024-07-08 .
4. "< Miénteme /> Volt Typhoon III" (PDF) . www.cverc.org.cn . 2024-10-15 . Consultado el 2024-10-14 .
5. "Volt Typhoon (Actor de la amenaza)". Sociedad Fraunhofer . Consultado el 9 de octubre de 2024 .
6. Hanrahan, Josh (13 de febrero de 2024). "Operaciones de espionaje de VOLTZITE dirigidas a sistemas críticos de EE. UU." Dragos . Consultado el 14 de octubre de 2024 .
7. "Actor cibernético patrocinado por el Estado de la República Popular China que vive de la tierra para evadir la detección". Agencia de Seguridad de Infraestructura y Ciberseguridad . 2023-05-24 . Consultado el 2024-10-09 .
8. Forno, Richard (1 de abril de 2024). "¿Qué es Volt Typhoon? Un experto en ciberseguridad explica los ataques de piratas informáticos chinos contra infraestructuras críticas de EE. UU.", Universidad de Maryland, condado de Baltimore . Consultado el 9 de octubre de 2024 .
9. "Tifón Volt: un actor patrocinado por el Estado chino que ataca infraestructuras críticas". Secure Blink . 2023-06-05 . Consultado el 2024-10-09 .
10. Paing Htun, Phyo; Kimura, Ai; Srinivasan, Manikantan; Natarajan, Pooja (28 de marzo de 2024). "Volt Typhoon, SILUETA ​​DE BRONCE, Grupo G1017". Corporación Mitre . Consultado el 9 de octubre de 2024 .
11. Pearson, James; Satter, Raphael (19 de abril de 2024). Berkrot, Bill (ed.). "¿Qué es Volt Typhoon, el grupo de piratas informáticos chino que el FBI advierte que podría asestar un 'golpe devastador'?". Reuters .
12. "El gobierno de Estados Unidos desmantela una red de bots que la República Popular China utiliza para ocultar ataques informáticos a infraestructuras críticas". Departamento de Justicia de los Estados Unidos . 2024-01-31 . Consultado el 2024-10-09 .
13. "Informe revela más conspiraciones detrás de la campaña de desinformación estadounidense sobre el "tifón Volt"". Agencia de Noticias Xinhua . 2024-10-15 . Consultado el 2024-10-14 .