Microsoft y Five Eyes: Hackers apoyados por China apuntan a la infraestructura crítica de EE.UU.

Un grupo chino de espionaje cibernético ha estado apuntando a una amplia gama de redes en sectores de infraestructura crítica de EE.UU., desde telecomunicaciones hasta centros de transporte, desde al menos mediados de 2021, según Microsoft y varias agencias de ciberseguridad bajo la alianza Five Eyes.

Microsoft anunció el miércoles que la «actividad maliciosa sigilosa y dirigida» es llevada a cabo por Volt Typhoon, un actor patrocinado por el estado con sede en China que normalmente espía y recopila información sobre sus objetivos.

El gigante tecnológico multinacional estadounidense agregó que Volt Typhoon parece tener la intención de “realizar espionaje y mantener el acceso sin ser detectado durante el mayor tiempo posible”.

Se cree que el grupo de piratería con sede en China está buscando capacidades para «interrumpir la infraestructura de comunicaciones crítica entre Estados Unidos y la región de Asia durante futuras crisis», según Microsoft.

Los sectores críticos estadounidenses afectados incluyen «los sectores de comunicaciones, manufactura, servicios públicos, transporte, construcción, marítimo, gobierno, tecnología de la información y educación».

No quedó claro de inmediato cuántas redes se han visto afectadas.

Riesgo Militar

Esto incluye varias redes en Guam, en el Pacífico occidental, donde Estados Unidos tiene una importante presencia militar, señaló Microsoft.

Estas instalaciones militares de EE.UU. desempeñan un papel importante en la respuesta a los conflictos en la región de Asia y el Pacífico. Guam también sirve como un importante centro de comunicaciones que une Asia y Australia con Estados Unidos, a través de cables submarinos.

Bart Hoggeveen, analista Senior del Instituto Australiano de Política Estratégica, dijo que los cables submarinos convertían a Guam en “un objetivo lógico” para que el partido comunista gobernante de China buscara información de inteligencia.

“Hay una alta vulnerabilidad cuando los cables llegan a tierra”, dijo.

Advertencia de las agencias de Five Eyes

Estados Unidos y otros socios de inteligencia señalaron en un aviso de seguridad cibernética conjunto que creen que la campaña Volt Typhoon de China podría apuntar a otras infraestructuras críticas en el extranjero.

Las agencias incluyen la Agencia de Seguridad Nacional de EE.UU., el FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y sus contrapartes de Australia, Nueva Zelanda, Canadá y Gran Bretaña.

“Durante años, China ha llevado a cabo operaciones cibernéticas agresivas para robar propiedad intelectual y datos confidenciales de organizaciones de todo el mundo”, dijo la directora de CISA, Jen Easterly, en una advertencia.

En la misma advertencia, Bryan Vorndran, director adjunto de la división cibernética del FBI, se refirió al pirateo como el uso de «tácticas inaceptables».

“Es vital que los operadores de infraestructura nacional crítica tomen medidas para evitar que los atacantes se escondan en sus sistemas”, dijo en la advertencia Paul Chichester, director del Centro Nacional de Seguridad Cibernética del Reino Unido.

Táctica de espionaje

Según Microsoft, una de las principales tácticas que utiliza Volt Typhoon es «vivir de la tierra», lo que implica el uso de varias herramientas de administración de red integradas de Windows contra los objetivos.

Esto permite que el grupo de espionaje cibernético evada la detección porque las herramientas de piratería se mezclan con el sistema normal de Windows y la actividad de la red, y no activan alertas de seguridad.

Estas técnicas son más difíciles de detectar porque utilizan «capacidades ya integradas en entornos de infraestructuras críticas», afirma Rob Joyce, director de ciberseguridad de la NSA, en el aviso de advertencia.

Después de infectar los sistemas existentes de un objetivo, el grupo de piratería realiza espionaje y comienza a extraer datos, dijo Microsoft.

Algunas de las herramientas integradas que se utilizan son wmic, ntdsutil, netsh y PowerShell.

Los piratas informáticos obtuvieron acceso inicial a través de dispositivos Fortiguard con acceso a Internet, que están diseñados para utilizar el aprendizaje automático para detectar malware, dijo Microsoft.

Alerta a los clientes de Microsoft

Microsoft dijo que se comunicó de manera proactiva con todos sus clientes que fueron atacados o comprometidos, y les proporcionó información para proteger sus redes.

Durante al menos la última década, los grupos de derechos humanos han estado advirtiendo a las empresas estadounidenses como Microsoft sobre los posibles riesgos para la seguridad nacional asociados con la negociación con el Partido Comunista Chino (PCCh) para obtener acceso al mercado chino.

Un informe del grupo Víctimas del Comunismo de febrero de 2022 advertía que Google, GE, Intel y Microsoft tenían “vínculos potencialmente problemáticos que pueden apoyar directa o indirectamente la vigilancia estatal, la modernización militar y las violaciones de derechos humanos de China”.

Mientras tanto, Bing de Microsoft se ha convertido en el principal motor de búsqueda de escritorio de China, superando a Baidu, según datos estadísticos recientes de StatCounter.

John Hultquist, analista jefe de la operación de inteligencia de seguridad cibernética Mandiant de Google, calificó el anuncio del miércoles de Microsoft como “un hallazgo potencialmente muy importante”.

“No vemos muchas indagaciones de este tipo sobre China. Es raro”, dijo Hultquist. “Sabemos mucho sobre las capacidades cibernéticas de Rusia, Corea del Norte e Irán porque lo han hecho regularmente”.

Añadió que, por lo general, China se ha abstenido de utilizar el tipo de herramientas que podrían emplearse para sembrar, no sólo capacidades de recopilación de inteligencia, sino también malware para ataques disruptivos en un conflicto armado.

Con información de Associated Press.

Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí