Un informe conjunto publicado en febrero de 2024 por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) alertó sobre la amenaza cibernética que representa el grupo Volt Typhoon, también conocido como Bronze Silhouette. Este actor malicioso, vinculado al gobierno chino, ha estado activo desde al menos 2021, enfocando sus esfuerzos en la recopilación de información confidencial y espionaje de infraestructuras críticas en EE. UU., incluyendo Guam.

El ataque se ha centrado en infiltrarse en redes de TI para ubicar malware con la capacidad de causar daños o interrumpir las operaciones críticas en caso de un conflicto entre EE. UU. y China. Volt Typhoon ha sido meticuloso en su enfoque, utilizando técnicas avanzadas como «vivir de la tierra» (LOTL), robo de credenciales y actividades manuales para mantener el sigilo.

Infraestructuras críticas en riesgo

La lista de infraestructuras críticas es extensa, abarcando sectores como comunicaciones, energía, transporte, fabricación, entre otros. La descripción completa incluye 16 sectores, entre ellos:

• Energía: Infraestructura de electricidad, gas y petróleo.
• Comunicaciones: Redes que sustentan operaciones empresariales, gubernamentales y de seguridad pública.
• Servicios de emergencia: Respuesta ante incidentes a nivel local, estatal y federal.
• Fabricación: Producción de componentes clave para la industria.

Tácticas del grupo Volt Typhoon

Volt Typhoon ha atacado ya a múltiples organizaciones de infraestructura crítica, específicamente en los sectores de comunicaciones, energía, sistemas de transporte y tratamiento de agua. Los ataques muestran un enfoque claro hacia la infiltración y persistencia en las redes de TI para llevar a cabo actividades disruptivas en el futuro.

El grupo ha demostrado ser extremadamente paciente, adaptando sus técnicas según el entorno objetivo. Entre sus métodos se encuentran:

• Robo de credenciales: Usando malware para obtener contraseñas y luego moverse lateralmente hacia el controlador de dominio.
• Movimientos encubiertos: Utilizan programas legítimos y PowerShell para eludir la detección.
• Recopilación meticulosa de datos: Analizan las redes antes del ataque para comprender su arquitectura.

Recomendaciones de mitigación

Las agencias de seguridad estadounidenses han recomendado implementar una serie de medidas para identificar y bloquear ataques similares. Es esencial que las organizaciones realicen evaluaciones proactivas de las amenazas que podrían estar acechando en sus redes.

Importancia de la inteligencia de amenazas

La inteligencia de amenazas es esencial para comprender a los actores maliciosos, sus métodos y motivaciones. Infoblox proporciona herramientas avanzadas que permiten identificar infraestructuras maliciosas antes de que los actores las utilicen. Mediante sofisticados algoritmos, los dominios sospechosos se correlacionan con fuentes de datos para ofrecer una visión completa del panorama de amenazas.

Las organizaciones pueden utilizar esta información para desarrollar políticas de seguridad más unificadas, bloquear proactivamente dominios y reforzar su estrategia de defensa. Una de las soluciones más efectivas es Infoblox DNS Detection and Response (DNSDR), que ayuda a identificar amenazas de forma temprana para prevenir daños.

La amenaza de Volt Typhoon es un recordatorio contundente de que las infraestructuras críticas están en la mira de actores estatales bien financiados y altamente capacitados. La implementación de medidas proactivas y la inteligencia de amenazas efectiva son vitales para contrarrestar estas amenazas y asegurar operaciones continuas.

Fuente: infoblox