En Estados Unidos, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Agencia Nacional de Seguridad (NSA) y el Buró Federal de Investigaciones (FBI) alertaron a la comunidad sobre actores asociados al Estado de la República Popular China, conocidos como Volt Typhoon, que buscan ingresar a redes TI para realizar ciberataques disruptivos o destructivos contra infraestructura crítica en EE.UU., en el caso de una crisis de gran envergadura o conflicto con EE.UU.
El comunicado de la CISA, la NSA y el FBI: https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
Estas agencias en EE.UU. aseguran haber confirmado que Volt Typhoon ha comprometido los ambientes TI de múltiples organizaciones de infraestructura crítica, principalmente en los sectores de comunicaciones, energía, transporte y aguas. Según las agencias, el comportamiento y las organizaciones objetivo de Volt Typhoon no son consistentes con operaciones de ciberespionaje o recopilación de inteligencia, por lo que juzgan con alto nivel de confianza que estos actores se posicionan preventivamente dentro de estas redes TI para permitir movimientos laterales hacia el OT y así perturbar sus funciones.
En su alerta, las agencias urgen a las organizaciones de infraestructura crítica a aplicar mitigaciones y a buscar actividad maliciosa similar.
Entre las características del comportamiento de Volt Typhoon identificadas por las agencias están el uso de técnicas tipo “living off the land” (LOTL) al atacar infraestructura crítica. También mencionan que el grupo malicioso depende de cuentas válidas y aprovecha la seguridad operacional fuerte, las que combinadas les permiten mantener una persistencia no detectada a largo plazo, con ejemplos descubiertos de al menos cinco años.
Además, indicaron que los actores conocidos como Volt Typhoon llevan a cabo un extensivo reconocimiento previo a la explotación, para aprender de la organización objetivo y su ambiente, ajustar sus tácticas, técnicas y procedimientos (TTP) al ambiente de la víctima y dedicar recursos a mantener persistencia y entender el ambiente objetivo a través del tiempo, incluso después de su compromiso inicial.
Estos son algunos IoC compartidos por las agencias y relacionados con este grupo malicioso (también publicados por CISA aquí: https://www.cisa.gov/news-events/analysis-reports/ar24-038a).
| Nombre del archivo | Descripción | MD5 | Hashes (SHA256) |
| BrightmetricAgent.exe | The file is an FRP that could be used to reveal servers situated behind a network firewall or obscured through Network Address Translation (NAT). | fd41134e8ead1c18ccad27c62a260aa6 | edc0c63065e88ec96197c8d7a40662a15a812a9583dc6c82b18ecd7e43b13b70 |
| SMSvcService.exe | The file is a Windows executable «FRPC” designed to open a reverse proxy between the compromised system and the threat actor(s) C2 server. | b1de37bf229890ac181bdef1ad8ee0c2 | 99b80c5ac352081a64129772ed5e1543d94cad708ba2adc46dc4ab7a0bd563f1 |
Más información sobre las características y comportamiento de Volt Typhoon, en los siguientes enlaces:
Fuente: https://www.csirt.gob.cl/noticias/agencias-de-ciberseguridad-de-ee-uu-alertan-ante-compromiso-persistente-de-infraestructura-critica-en-ese-pais-por-parte-de-entidad-asociada-al-estado-chino/
