CISA: China prepara malware para atacar infraestructuras estadounidenses durante algún conflicto

Según la principal agencia cibernética de Estados Unidos, el régimen comunista chino está preposicionando malware en los sistemas estadounidenses como preparación para un gran conflicto.

Un aviso publicado el 7 de febrero por la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) pretende «advertir a las organizaciones de infraestructuras críticas» sobre los intentos de China de infiltrarse, perturbar y destruir instalaciones vitales de Estados Unidos.

«Los actores cibernéticos [chinos] patrocinados por el Estado están tratando de posicionarse en las redes de TI para realizar ciberataques disruptivos o destructivos contra las infraestructuras críticas de Estados Unidos en caso de una crisis importante o un conflicto con Estados Unidos», decía el aviso.

El malware está concebido «para lanzar ciberataques destructivos que pondrían en peligro la seguridad física de los estadounidenses e impedirían la preparación militar».

La dura advertencia se produce después de que la semana pasada altos responsables de los servicios de inteligencia declararan ante el Congreso que Estados Unidos había erradicado el malware chino de más de 600 routers asociados a infraestructuras críticas estadounidenses.

Ese malware afectaba a infraestructuras de agua, gas, energía, ferrocarril, aire y puertos.

Eric Goldstein, subdirector ejecutivo de CISA para ciberseguridad, dijo que la operación solo afectaba a una fracción del malware chino que trata de infiltrarse en los sistemas estadounidenses todos los días.

«Esta amenaza no es teórica», declaró Goldstein en una conferencia de prensa celebrada el miércoles. «Se basa en intrusiones confirmadas en infraestructuras críticas de Estados Unidos. Y sabemos que lo que hemos encontrado es la punta del iceberg».

China se prepara para atacar a EE.UU.

Goldstein dijo que el volumen y el tipo de malware interceptado por las agencias de inteligencia indicaban un cambio en la estrategia cibernética de China contra Estados Unidos.

Mientras que antes el régimen se centraba en el robo de propiedad intelectual y el espionaje, ahora parece decidido a causar daños físicos y pánico social en caso de conflicto, explicó.

«Merece la pena señalar que la información que publicamos con este aviso refleja un cambio estratégico en la actividad cibernética maliciosa [de China], que pasó de centrarse en el espionaje y el robo de propiedad intelectual a prepararse para futuros ataques perturbadores o destructivos», afirmó.

«Nuestras pruebas sugieren claramente que los actores [con base en China] están preparándose para lanzar futuros ciberataques destructivos o perturbadores que podrían afectar a la seguridad nacional, la seguridad económica o la salud y seguridad públicas», afirmó Goldberg.

En relación con esto, Goldberg afirmó que la red de bots KV, desmantelada el mes pasado por los servicios de inteligencia estadounidenses, no tenía como objetivo las agencias gubernamentales federales, sino las entidades privadas que facilitan las infraestructuras más críticas del país.

La botnet servía de mecanismo de apoyo al grupo de hacking chino Volt Typhoon y utilizaba credenciales y herramientas legítimas para ocultarse en software obsoleto que había superado su fin de vida funcional.

«Su fuerte enfoque en el sigilo y la seguridad operativa les permite mantener una persistencia a largo plazo, sin ser descubiertos», dice el aviso de CISA.

«Su objetivo es lograr y mantener la persistencia en la red».

Cynthia Kaiser, subdirectora adjunta de la división cibernética del FBI, describió la técnica como «vivir de la tierra», en la que un grupo maligno es capaz de mezclarse en la infraestructura existente utilizando credenciales auténticas y borrando cualquier actividad anormal.

«Los actores del tifón Volt son capaces de eludir la detección mezclándose con los sistemas y actividades normales, lo que les ayuda a mantener un acceso persistente a las redes de interés para futuras actividades», dijo Kaiser.

«Aunque esos dispositivos ya no están infectados con el malware KV Botnet, siguen siendo vulnerables a futuras infecciones como dispositivos al final de su vida útil».

La respuesta estadounidense tardó meses

Microsoft informó por primera vez sobre Volt Typhoon en mayo de 2023, momento en el que dijo que el grupo databa de alrededor de 2021.

El nuevo aviso de CISA sugiere que el grupo en realidad mantuvo «acceso y puntos de apoyo dentro de algunos entornos de TI víctimas durante al menos cinco años», sin embargo, lo que sugiere que el malware chino estuvo afectando a los sistemas estadounidenses durante mucho más tiempo de lo que los funcionarios han sido conscientes de ello.

Del mismo modo, aunque Kaiser describió el malware como «una amenaza significativa para Estados Unidos», la respuesta interinstitucional que erradicó la red de bots no fue inmediata.

En respuesta a una pregunta de The Epoch Times, Kaiser dijo que la operación se llevó a cabo en diciembre de 2023 y enero de 2024, más de medio año después de que Microsoft informara por primera vez de la existencia de Volt Typhoon.

Kaiser no aclaró si el FBI había actuado tan pronto como pudo para erradicar la amenaza, pero dijo que este tipo de operaciones requieren una amplia planificación y coordinación interinstitucional.

«Estas operaciones suelen requerir cierto tiempo para su planificación y ejecución técnica», afirmó Kaiser.

«El FBI había determinado que la mejor acción era llevar a cabo una operación técnica para neutralizar decisivamente la botnet de una manera oportuna y también coordinada que está restringiendo la capacidad del gobierno chino para atacar aún más a las entidades estadounidenses a través de esta red de ofuscación».

Este retraso puede generar inquietud entre los profesionales de la seguridad. Sigue sin estar claro si los actores chinos respaldados por el Estado que están detrás del malware podrían haber lanzado ataques contra infraestructuras estadounidenses en el largo periodo de tiempo transcurrido entre el descubrimiento y la erradicación.

«Sabemos que sus objetivos incluyen numerosos sectores [como] la comunicación, la fabricación, los servicios públicos, el transporte, la construcción, el sector marítimo, la administración pública y las tecnologías de la información, así como la educación», afirmó Kaiser.

«Aunque esto no es nuevo, lo que queríamos destacar hoy son las tácticas y la amplitud de lo que estamos rastreando actualmente».

Las agencias utilizaron una polémica ley de espionaje

Es importante destacar que la detección y respuesta de Estados Unidos a la red de bots Volt Typhoon requirió el uso de una controvertida disposición que permite a las agencias de inteligencia recopilar datos.

La Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (FISA) permite la vigilancia sin orden judicial de amplias franjas de comunicaciones extranjeras sin órdenes judiciales. Muchos críticos de la ley, incluso en el Congreso, argumentan que proporciona a las agencias federales una «puerta trasera» a la información privada de los estadounidenses si interactúan con personas extranjeras.

Sin embargo, Kaiser afirmó que la ley es fundamental para descubrir y combatir la creciente oleada de programas maliciosos chinos dirigidos a Estados Unidos.

Destacó un caso en el que las agencias de inteligencia fueron testigos del ataque inicial a una entidad del sector del transporte gracias a la información recopilada en virtud de FISA 702, y pudieron informar a la víctima y prestarle asistencia.

«La FISA 702 del FBI también identificó a otros actores cibernéticos patrocinados por el Estado chino que llevaban a cabo actividades similares», dijo Kaiser. «Y, de hecho, solo sabemos de muchas entidades de infraestructura crítica comprometidas por los chinos gracias a la recopilación de FISA 702 del FBI».

FISA 702 se encuentra actualmente bajo una prórroga de cuatro meses mientras algunos miembros del Congreso intentan que se elimine del presupuesto de la nación.

Kaiser describió la ley como «crítica» para las operaciones cibernéticas del FBI, sugiriendo que tales amenazas seguirían ocultándose a plena vista sin la ley.

«Como el FBI vio el objetivo inicial a través de la información de la FISA 702, pudimos obtener información de ella, llevarla a la víctima y proporcionársela. Eso les permitió expulsar a los chinos de su sistema antes de que pudieran avanzar más».

«Dado que los dispositivos suelen ser utilizados por ciudadanos particulares o pequeñas empresas con recursos informáticos y de seguridad limitados, era poco probable que el malware de la botnet KV fuera identificado y mitigado por los propietarios de los dispositivos».

El PCCh busca disuadir al ejército estadounidense

El aviso de CISA parece confirmar la creciente preocupación de que el Partido Comunista Chino (PCCh) se esté preparando para un conflicto con Estados Unidos o, al menos, tratando de disuadir a Estados Unidos de interferir en uno que inicie.

Para ello, el aviso afirma que los piratas informáticos chinos se están «preposicionando» «para interrumpir funciones» de infraestructuras vitales que podrían afectar «a Estados Unidos continental y extracontinental y a sus territorios, incluido Guam», así como a los aliados de Estados Unidos Australia, Canadá y Nueva Zelanda.

Andrew Scott, director asociado de operaciones en China de la CISA, dijo que el esfuerzo tenía probablemente la intención de disuadir a Estados Unidos y a sus aliados de interferir en un conflicto iniciado por el PCCh «impidiendo la toma de decisiones, induciendo el pánico social e interfiriendo en el despliegue de las fuerzas estadounidenses».

«Ahora podemos confirmar los tipos de ataques que estamos viendo en infraestructuras críticas contra víctimas que no tienen valor desde el punto de vista de la inteligencia, pero sí para otros objetivos estratégicos», afirmó Scott.

Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí