Ataques de Volt Typhoon: Actores respaldados por la nación china centran esfuerzos maliciosos en la infraestructura crítica de EE.UU.
Tabla de contenidos:
Los hackers patrocinados por el Estado que actúan en nombre del gobierno de Beijing han estado organizando operaciones ofensivas destinadas a recopilar inteligencia y lanzar campañas destructivas contra EE. UU. y organizaciones globales durante años, con múltiples ataques observados relacionados con grupos como Mustang Panda or APT41.
La última alerta conjunta de las agencias de inteligencia de EE. UU., Reino Unido, Australia, Nueva Zelanda y Canadá advierte que otro grupo APT chino denominado Volt Typhoon (también conocido como Vanguard Panda, BRONCE SILHOUETTE) ha puesto sus ojos en la infraestructura crítica de EE. UU. Los actores patrocinados por el Estado han llegado a la infraestructura crítica de los Estados Unidos, manteniendo el acceso durante medio década y planeando un conjunto de operaciones destructivas. En particular, los adversarios aprovecharon un conjunto de brechas de seguridad que afectan a routers SOHO, firewalls y VPNs para establecer un punto de apoyo inicial en las redes objetivo y continuar con actividades maliciosas.
Detectar ataques de Volt Typhoon
La creciente amenaza planteada por los actores estatales se intensifica continuamente con nuevas tácticas, técnicas y procedimientos añadidos al kit de herramientas del adversario. Los profesionales de la ciberseguridad deben mantenerse al tanto de los nuevos trucos maliciosos para asegurar la infraestructura organizacional y detectar posibles ataques en las primeras etapas de desarrollo. La Plataforma SOC Prime ofrece un conjunto de herramientas avanzadas para llevar sus esfuerzos de caza de amenazas al siguiente nivel y mantener la defensa siempre actualizada.
Detecte la actividad maliciosa vinculada a las operaciones de Volt Typhoon utilizando un conjunto de algoritmos de detección curados en la Plataforma SOC Prime. Todas las detecciones son compatibles con más de 25 soluciones SIEM, EDR, XDR y Data Lake y están mapeadas al marco MITRE ATT&CK v14 para ayudar a los profesionales de la seguridad a agilizar la investigación.
Pulse el botón Explorar Detecciones a continuación para profundizar inmediatamente en un paquete de contenido de detección destinado a detectar ataques encubiertos de Volt Typhoon. Para simplificar la búsqueda de contenido, SOC Prime admite el filtrado por etiquetas personalizadas “AA24-038A,” “Volt Typhoon,” “Vanguard Panda,” “BRONCE SILHOUETTE,” “Dev-0391,” “UNC3236,” “Voltzite,” y “Insidious Taurus” según la alerta de CISA e identificadores de colectivos de hacking.
Analizando Ataques del Grupo de Hackers Volt Typhoon cubiertos en el Aviso de Ciberseguridad CISA AA24-038A
El 7 de febrero de 2024, CISA, NSA y FBI, junto con otras agencias internacionales de inteligencia, emitieron un aviso AA24-038A advirtiendo de una operación prolongada por parte de Volt Typhoon APT. Los adversarios estatales han aprovechado una botnet compuesta de routers SOHO para penetrar las redes de múltiples organizaciones en los sectores de comunicación, energía, transporte y otras infraestructuras críticas de EE. UU. Según expertos en ciberseguridad federal, Volt Typhoon se orienta principalmente a operaciones destructivas en lugar de ciberespionaje, estableciendo acceso a las redes para moverse lateralmente a través de los entornos y potencialmente interrumpir los activos OT. Aparte del enfoque principal en los EE. UU., los expertos suponen que las organizaciones canadienses, australianas y neozelandesas también podrían verse afectadas.
Notablemente, los últimos ataques de Volt Typhoon podrían estar conectados con el malware KV-botnet vinculado a hackers respaldados por Beijing y revelado en diciembre de 2023. Este malware ha sido utilizado para secuestrar routers y dispositivos VPN, conformando una poderosa botnet bajo el control de los hackers chinos.
Volt Typhoon ha estado realizando sus operaciones ofensivas en el ámbito de amenazas cibernéticas desde 2021, apuntando principalmente a infraestructuras críticas en Guam y otras partes de EE. UU. en múltiples sectores industriales. Los patrones de comportamiento identificados revelan los objetivos del atacante relacionados con la actividad de ciberespionaje y su enfoque en mantener el sigilo y la persistencia. Para pasar desapercibido, Volt Typhoon se basa masivamente en tácticas de vivir de la tierra, explota cuentas válidas y mantiene una seguridad operativa mejorada. Debido a este enfoque, los hackers lograron permanecer desapercibidos dentro de las redes objetivo durante más de cinco años en algunos casos, llevando a cabo la actividad maliciosa de manera encubierta.
En vista de la creciente sofisticación de las capacidades de los adversarios chinos respaldadas por el gobierno del país en el último medio siglo, es muy probable que China fortalezca su posición en el ámbito cibernético mejorando su guerra cibernética y ampliando el alcance de los ataques. Confíe en SOC Prime y acceda a más de 500 algoritmos de detección curados contra ataques APT actuales y emergentes de cualquier alcance y escala para reforzar continuamente su resiliencia cibernética.
