Según una investigación de Microsoft, diversas infraestructuras críticas están bajo constante asedio de hackers estatales. La empresa insta a las organizaciones a nivel global a mantenerse alertas frente a una persistente campaña de ciberataques que se aprovecha de dispositivos de red en oficinas para infiltrar los activos de infraestructuras nacionales críticas, o CNI, por sus iniciales en inglés.
El grupo detrás de estos ataques es Volt Typhoon, respaldado por el estado chino y reconocido por centrarse en operaciones de espionaje y recopilación de inteligencia. Microsoft reveló que este grupo está atacando de manera específica a las organizaciones de CNI. Volt Typhoon se apoya casi exclusivamente en las técnicas conocidas como “living-off-the-land” (LOTL), que consisten en explotar los sistemas y herramientas ya instalados en el sistema víctima para alcanzar sus objetivos, en lugar de ejecutar su propio código o cargar software malicioso.
En su investigación Microsoft colaboró con “Five Eyes”, alianza de inteligencia de cinco países (Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda), cuyo objetivo principal es la cooperación en materia de seguridad nacional e intercambio de información de inteligencia. Los miembros de Five Eyes comparten información clasificada y realizan operaciones conjuntas de inteligencia. La alianza se formó después de la Segunda Guerra Mundial y ha estado operando durante décadas.
Volt Typhoon destaca por la discreción con la que lleva a cabo sus operaciones. Utiliza la línea de comandos para recolectar datos, entre ellos credenciales de sistemas locales y de red, para posteriormente prepararlos para su exfiltración y utilizar las credenciales robadas para mantenerse en el sistema.
En el transcurso de la campaña que lleva a cabo, Volt Typhoon ha demostrado su habilidad para integrarse y pasar desapercibido en la actividad normal de la red, redirigiendo el tráfico a través de equipos de red comprometidos en pequeñas oficinas y hogares (SOHO). Esta estrategia incluye routers, firewalls y equipos de VPN. Microsoft confirmó que varios dispositivos, entre los que se encuentran los fabricados por ASUS, Cisco, D-Link, Netgear y Zyxel, están en riesgo. La recomendación para los dueños de estos dispositivos es asegurarse de que las interfaces no estén expuestas a Internet para mitigar las amenazas.
Volt Typhoon ha estado activo desde mediados de 2021, habiendo ya apuntado a organizaciones de infraestructura crítica en Estados Unidos y Guam, un enclave estratégico para las actividades militares estadounidenses en el Pacífico. Según Microsoft, esta campaña de Volt Typhoon podría estar buscando desarrollar capacidades para interrumpir la infraestructura de comunicaciones crítica entre Estados Unidos y Asia durante potenciales futuros conflictos.
La campaña de Volt Typhoon ha generado que las agencias de seguridad de Five Eyes lancen una advertencia urgente a las organizaciones de infraestructura crítica. Según Microsoft, Volt Typhoon tiene potencialmente implicaciones geopolíticas más amplias, dadas las crecientes tensiones entre EE. UU. y China.