Home Tecnología Conozca a los hackers chinos del 'Storm' que se preparan para la...

Conozca a los hackers chinos del 'Storm' que se preparan para la guerra

44
0

De los riesgos de ciberseguridad que enfrenta Estados Unidos hoy en día, pocos son más grandes que las potenciales capacidades de sabotaje que plantean los piratas informáticos respaldados por China, que altos funcionarios de seguridad nacional de Estados Unidos han descrito como una “amenaza que outline una época”.

Estados Unidos cube que los piratas informáticos respaldados por el gobierno chino han estado (en algunos casos durante años) invadiendo profundamente las redes de infraestructura crítica de Estados Unidos, incluidos los proveedores de agua, energía y transporte. El objetivo, dicen los funcionarios, es sentar las bases para ataques cibernéticos potencialmente destructivos en caso de un futuro conflicto entre China y Estados Unidos, como por ejemplo más de una posible invasión china a Taiwán.

“Los piratas informáticos chinos se están posicionando en la infraestructura estadounidense en preparación para causar estragos y causar daños en el mundo actual a los ciudadanos y comunidades estadounidenses, si China resolve que ha llegado el momento de atacar”, dijo el año pasado a los legisladores el entonces director saliente del FBI, Christopher Wray.

Desde entonces, el gobierno de Estados Unidos y sus aliados han tomado medidas contra algunos miembros de la familia de grupos de hackers chinos “Storm” y han publicado nuevos detalles sobre las amenazas que plantean estos grupos.

En enero de 2024, Estados Unidos desbarató el “Volt Storm”, un grupo de piratas informáticos del gobierno chino encargado de preparar el escenario para ciberataques destructivos. Más tarde, en septiembre de 2024, las autoridades federales tomaron el management de una botnet dirigida por otro grupo de hackers chino llamado “Flax Storm”, que utilizaba una empresa de ciberseguridad con sede en Beijing para ayudar a ocultar las actividades de los hackers del gobierno de China. Luego, en diciembre, el gobierno de Estados Unidos sancionó a la empresa de ciberseguridad por su presunto papel en “múltiples incidentes de intrusión informática contra víctimas estadounidenses”.

Desde entonces, otro nuevo grupo de piratería respaldado por China llamado “Salt Storm” apareció en las redes de los gigantes estadounidenses de telefonía e Web, capaz de recopilar información sobre los estadounidenses (y objetivos potenciales de la vigilancia estadounidense) comprometiendo los sistemas de telecomunicaciones utilizados para las escuchas telefónicas de las fuerzas del orden.

Y un actor de amenazas chino llamado Silk Storm (anteriormente conocido como Hafnium), un grupo de hackers que ha estado activo desde al menos 2021, regresó en diciembre de 2024 con una nueva campaña dirigida al Tesoro de Estados Unidos.

Esto es lo que hemos aprendido sobre los grupos de hackers chinos que se preparan para la guerra.

Voltio tifón

Volt Storm representa una nueva generación de grupos de piratería respaldados por China; ya no sólo tenía como objetivo robar secretos confidenciales de Estados Unidos, sino más bien prepararse para alterar la “capacidad de movilización” del ejército estadounidense, según el entonces director del FBI.

Microsoft identificó por primera vez Volt Typhoon en mayo de 2023, descubriendo que los piratas informáticos habían atacado y comprometido equipos de purple, como enrutadores, firewalls y VPN, desde al menos mediados de 2021 como parte de un esfuerzo continuo y concertado para infiltrarse profundamente en los sistemas de infraestructura crítica de EE. UU. La comunidad de inteligencia de Estados Unidos dijo que, en realidad, es possible que los piratas informáticos estuvieran operando durante mucho más tiempo, potencialmente hasta cinco años.

Volt Storm comprometió miles de estos dispositivos conectados a Web en los meses posteriores al informe de Microsoft, explotando vulnerabilidades en dispositivos que se consideraban “al last de su vida útil” y, por lo tanto, ya no recibirían actualizaciones de seguridad. Posteriormente, el grupo de piratas informáticos obtuvo mayor acceso a los entornos de TI de múltiples sectores de infraestructura crítica, incluidos la aviación, el agua, la energía y el transporte, preposicionándose para activar futuros ciberataques disruptivos destinados a frenar la respuesta del gobierno de los EE. UU. a una invasión de su aliado clave. Taiwán.

“Este actor no está realizando la recopilación silenciosa de inteligencia y el robo de secretos que ha sido la norma en los EE. UU. Están investigando infraestructuras críticas sensibles para poder interrumpir servicios importantes cuando la orden se cumpla”, dijo John Hultquist, jefe analista de la firma de seguridad Mandiant.

El El gobierno de EE. UU. dijo en enero de 2024. que había interrumpido con éxito una botnet, utilizada por Volt Storm, que constaba de miles de enrutadores de redes domésticas y de pequeñas oficinas secuestrados en los EE. UU., que el grupo de hackers chino utilizó para ocultar su actividad maliciosa dirigida a atacar la infraestructura crítica de los EE. UU. El FBI dijo que pudo eliminar el malware de los enrutadores secuestrados mediante una operación autorizada por el tribunal, cortando la conexión del grupo de hackers chino con la botnet.

Para enero de 2025, Estados Unidos había descubierto más de 100 intrusiones. en todo el país y sus territorios vinculados al Volt Storm, según un informe de Bloomberg. Un gran número de estos ataques han tenido como objetivo Guam, un territorio insular estadounidense en el Pacífico y un lugar estratégico para las operaciones militares estadounidenses, según el informe. Volt Storm supuestamente atacó infraestructura crítica en la isla, incluida su principal autoridad eléctrica, el mayor proveedor de telefonía celular de la isla y varias redes federales de EE. UU., incluidos sistemas de defensa sensibles, con base en Guam. Bloomberg informó que Volt Storm utilizó un tipo de malware completamente nuevo para atacar redes en Guam que nunca antes había implementado, lo que los investigadores tomaron como una señal de la gran importancia que tiene la región para los piratas informáticos respaldados por China.

Tifón de lino

Flax Storm, revelado por primera vez por Microsoft varios meses después en un informe de agosto de 2023es otro grupo de piratería respaldado por China, que según los funcionarios ha operado bajo la apariencia de una empresa de ciberseguridad que cotiza en bolsa con sede en Beijing para llevar a cabo ataques contra infraestructura crítica en los últimos años. Microsoft dijo que Flax Storm, también activo desde mediados de 2021, se dirigió principalmente a docenas de “agencias gubernamentales y organizaciones de educación, fabricación crítica y tecnología de la información en Taiwán”.

Luego, en septiembre de 2023, el gobierno de EE. UU. dijo que había tomado el management de otra botnet, que estaba compuesta por cientos de miles de dispositivos secuestrados conectados a Web, y utilizado por Flax Typhoon para “realizar actividades cibernéticas maliciosas disfrazadas de tráfico de Web de rutina desde los dispositivos de los consumidores infectados”. Los fiscales dijeron que la botnet permitió a otros piratas informáticos respaldados por el gobierno de China “piratear redes en Estados Unidos y en todo el mundo para robar información y mantener en riesgo nuestra infraestructura”.

Posteriormente, el Departamento de Justicia corroboró las conclusiones de Microsoft y agregó que Flax Storm también “atacó a múltiples corporaciones estadounidenses y extranjeras”.

Los funcionarios estadounidenses dijeron que la botnet utilizada por Flax Storm period operada y controlada por la empresa de ciberseguridad con sede en Beijing, Integrity Know-how Group. En enero de 2024, el gobierno de Estados Unidos impuso sanciones a Integrity Tech por sus presuntos vínculos con Flax Storm.

Tifón de sal

El último grupo (y potencialmente el más siniestro) del ejército cibernético respaldado por el gobierno de China descubierto en los últimos meses es Salt Storm.

Salt Storm llegó a los titulares en octubre de 2024 por un tipo diferente de operación de recopilación de información. Como informado por primera vez por The Wall Street Journalel grupo de piratería vinculado a China comprometió a varios proveedores de Web y telecomunicaciones de EE. UU., incluidos AT&T, Lumen (anteriormente CenturyLink) y Verizon. El diario informado más tarde en enero de 2025 que Salt Storm también violó a los proveedores de Web con sede en EE. UU. Constitution Communications y Windstream. La funcionaria cibernética estadounidense Anne Neuberger dijo que el gobierno federal había identificado una novena empresa de telecomunicaciones no identificada que fue pirateada.

De acuerdo a un informeSalt Storm puede haber obtenido acceso a estas empresas de telecomunicaciones utilizando enrutadores Cisco comprometidos. Una vez dentro de las redes de la empresa de telecomunicaciones, los atacantes pudieron acceder a los metadatos de llamadas y mensajes de texto de los clientes, incluidas marcas de fecha y hora de las comunicaciones de los clientes, direcciones IP de origen y destino y números de teléfono de más de un millón de usuarios; la mayoría de los cuales eran personas ubicadas en el área de Washington DC. En algunos casos, los piratas informáticos fueron capaz de capturar el audio del teléfono de estadounidenses mayores. Neuberger dijo que un “gran número” de aquellos a quienes se accedió a los datos eran “objetivos de interés del gobierno”.

Al piratear los sistemas que los organismos encargados de hacer cumplir la ley utilizan para la recopilación de datos de clientes autorizada por los tribunales, Salt Storm también obtuvo potencialmente acceso a datos y sistemas que albergan gran parte de las solicitudes de datos del gobierno de EE. UU., incluidas las identidades potenciales de los objetivos chinos de la vigilancia estadounidense.

Aún no se sabe cuándo ocurrió la violación de los sistemas de escuchas telefónicas, pero puede remontarse a principios de 2024, según el informe del Journal.

AT&T y Verizon le dijeron a TechCrunch en diciembre de 2024 que sus redes estaban seguras después de ser atacadas por el grupo de espionaje Salt Storm. Lumen confirmó poco después que su purple estaba libre de piratas informáticos.

Tifón de seda

El grupo de piratería respaldado por China, anteriormente conocido como Hafnium, apareció silenciosamente nuevamente como el recién nombrado Silk Storm después de ser vinculado a un pirateo en diciembre de 2024 en el Tesoro de Estados Unidos.

En una carta a los legisladores vista por TechCrunch, el Tesoro de EE. UU. dijo a fines de diciembre de 2024 que los piratas informáticos respaldados por China utilizaron una clave robada de BeyondTrust, una empresa que proporciona tecnología de acceso a identidades a grandes organizaciones y departamentos gubernamentales, para obtener acceso remoto a ciertos Estaciones de trabajo para empleados de Tesorería, incluidos documentos internos en la purple no clasificada del departamento.

Durante el ataque, el grupo de hackers patrocinado por el estado también comprometió la oficina de sanciones del Tesoro, que impone sanciones económicas y comerciales contra países e individuos; y también violó en diciembre el Comité de Inversión Extranjera del Tesoro, o CFIUS, una oficina que tiene el poder de bloquear la inversión china en Estados Unidos.

Silk Storm no es un grupo de amenazas nuevo, ya que anteriormente apareció en los titulares en 2021 como Hafnium, como se conocía entonces, por explotar vulnerabilidades en servidores de correo electrónico autohospedados de Microsoft Alternate que comprometieron a más de 60.000 organizaciones.

De acuerdo a microsoftSilk Storm, que rastrea al grupo de hackers respaldado por el gobierno, normalmente se centra en el reconocimiento y el robo de datos, y es conocido por atacar a organizaciones de atención médica, bufetes de abogados y organizaciones no gubernamentales en Australia, Japón, Vietnam y Estados Unidos.

Publicado por primera vez el 13 de octubre de 2024 y actualizado.

fuente