Los piratas informáticos del Volt Typhoon de China estuvieron “preposicionando” ataques cibernéticos contra infraestructura crítica de EE. UU. durante cinco años
El panorama de la ciberseguridad se ha visto sacudido por revelaciones sobre las actividades clandestinas de Volt Typhoon, un grupo de piratería patrocinado por el estado chino. Según un aviso reciente de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), Volt Typhoon se ha infiltrado en numerosas organizaciones de infraestructura crítica dentro de los Estados Unidos y sus territorios, incluida Guam.
A diferencia de las tácticas tradicionales de ciberespionaje, las operaciones de Volt Typhoon parecen centrarse en posicionarse previamente dentro de las redes de TI, lo que potencialmente allana el camino para acciones disruptivas dirigidas a activos de tecnología operativa (OT).
El aviso de CISA subraya la gravedad de la situación e insta a los defensores a buscar y eliminar de forma proactiva los artefactos de malware dejados por los piratas informáticos. La agencia también ha proporcionado orientación técnica detallada para reforzar las defensas contra tales amenazas . De particular preocupación es la revelación de que los actores de Volt Typhoon han mantenido acceso a algunas redes de víctimas durante hasta cinco años, lo que genera temores de posibles acciones disruptivas en tiempos de tensión geopolítica o conflicto militar.
La urgencia de la situación se ha visto acentuada aún más por las recientes acciones tomadas por el Departamento de Justicia de Estados Unidos para desmantelar una botnet utilizada por Volt Typhoon para comunicaciones encubiertas. Esta botnet, compuesta por enrutadores Cisco y Netgear al final de su vida útil, sirvió como conducto para actividades maliciosas y subrayó las capacidades del grupo para operar sigilosamente dentro de redes específicas.
John Hultquist, analista jefe de Mandiant Intelligence – Google Cloud, destacó la gravedad de la situación y enfatizó el enfoque de Volt Typhoon en infiltrarse y recopilar información de los sistemas tecnológicos operativos. Estos sistemas, que son parte integral del funcionamiento de la infraestructura crítica, podrían potencialmente manipularse para causar interrupciones generalizadas o incluso condiciones peligrosas.
Estos acontecimientos sirven como un claro recordatorio de la naturaleza cambiante de las amenazas cibernéticas y la necesidad de medidas sólidas de ciberseguridad para salvaguardar la infraestructura crítica de adversarios sofisticados como Volt Typhoon.