CISA, la NSA, el FBI y varias otras agencias de Estados Unidos y de todo el mundo han advertido a los gestores de infraestructuras críticas que protejan sus sistemas contra el grupo hacker chino Volt Typhoon.
En colaboración con la NSA, el FBI, otras agencias gubernamentales estadounidenses y las agencias de ciberseguridad socias de los «Cinco Ojos», incluidas las agencias de ciberseguridad de Australia, Canadá, Reino Unido y Nueva Zelanda, CISA también ha publicado consejos de defensa para detectar y protegerse contra los ataques de Volt Typhoon.
El mes pasado también advirtieron de que piratas informáticos chinos habían irrumpido en varias infraestructuras críticas estadounidenses y habían conservado el acceso a al menos una de ellas durante al menos cinco años antes de ser descubiertos.
Las autoridades han señalado que los objetivos y las tácticas del grupo de ciberespionaje Volt Typhoon difieren de las actividades típicas, lo que sugiere que su objetivo es obtener acceso a activos de tecnología operativa (OT) dentro de las redes que podrían explotarse para perturbar infraestructuras críticas.
A las autoridades estadounidenses les preocupa que el grupo chino pueda explotar este acceso para perturbar aún más las infraestructuras críticas y causar trastornos durante conflictos militares o tensiones geopolíticas.
Hoy, CISA y las agencias gubernamentales estadounidenses asociadas (incluidos el Departamento de Energía, la Agencia de Protección Medioambiental, la Administración de Seguridad en el Transporte y el Departamento del Tesoro) han aconsejado a los líderes de infraestructuras críticas que capaciten a sus equipos de ciberseguridad para tomar decisiones informadas sobre recursos, asegurar su cadena de suministro y garantizar que los resultados de la gestión del rendimiento estén alineados con los objetivos cibernéticos de su organización.
«Las mejores prácticas para sus equipos de ciberseguridad incluyen garantizar que el registro, incluido el de acceso y seguridad, esté habilitado para aplicaciones y sistemas y que los registros se almacenen en un sistema central. Un registro sólido es necesario para detectar y mitigar los efectos de la actividad fuera del territorio», dice el documento conjunto de orientación[PDF].
«Pregunte a sus equipos de TI qué registros guardan, ya que algunos registros revelan comandos (a los que se hace referencia en la CSA) utilizados por los actores de Volt Typhoon. Si sus equipos de TI no tienen los registros pertinentes, pregúnteles qué recursos podrían necesitar para detectar eficazmente el compromiso.»
También conocido como Bronze Silhouette, Volt Typhoon ha estado atacando infraestructuras críticas estadounidenses desde al menos mediados de 2021.
Los hackers chinos también utilizaron una botnet de cientos de pequeñas oficinas domésticas (SOHO) en todo Estados Unidos a lo largo de sus ataques para ocultar sus actividades maliciosas y evitar ser detectados.
El FBI desarticuló la botnet KV del grupo en diciembre, pero los hackers no pudieron reconstruirla después de que los laboratorios Black Lotus de Lumen se hicieran con los servidores C2 y los servidores de carga útil restantes.
Tras el desmantelamiento de KV-botnet, CISA y el FBI instaron a los fabricantes de routers SOHO a proteger sus dispositivos contra los ataques de Volt Typhoon mediante el uso de ajustes de configuración seguros por defecto y la eliminación de las vulnerabilidades de la interfaz de gestión web durante el desarrollo.