El tifón Volt intensifica la actividad maliciosa contra la infraestructura crítica

El grupo de ciberespionaje respaldado por China Volt Typhoon está apuntando sistemáticamente a dispositivos Cisco heredados en una campaña sofisticada y sigilosa para hacer crecer su infraestructura de ataque.

En muchos casos, el actor de amenazas, conocido por apuntar a infraestructuras críticas, está explotando un par de vulnerabilidades de 2019 en enrutadores para ingresar a los dispositivos objetivo y tomar el control de ellos.

Apuntando a sectores de infraestructura crítica de EE. UU.

Los investigadores del equipo de inteligencia de amenazas de SecurityScorecard detectaron la actividad al realizar algunas investigaciones de seguimiento sobre proveedores recientes y informes de los medios sobre Volt Typhoon irrumpiendo en organizaciones de infraestructura crítica de EE. UU. y sentando las bases para posibles interrupciones futuras. Los ataques se han dirigido a empresas de agua, proveedores de energía, transporte y sistemas de comunicaciones. Entre las víctimas del grupo se encuentran organizaciones de Estados Unidos, Reino Unido y Australia.

Uno de los informes del proveedor, de Lumen, describió una botnet compuesta por Enrutadores para pequeñas oficinas/oficinas domésticas (SOHO) que Volt Typhoon (y otros grupos de amenazas chinos) está utilizando como red de comando y control (C2) en ataques contra redes de alto valor. La red que Lumen describió en el informe consiste principalmente en enrutadores al final de su vida útil de Cisco, DrayTek y, en menor medida, Netgear.

Los investigadores de SecurityScorecard utilizaron los indicadores de compromiso (IoC) que Lumen publicó con su informe para ver si podían identificar nueva infraestructura asociada con la campaña de Volt Typhoon. El investigación demostró que la actividad del grupo de amenazas puede ser más extensa de lo que se pensaba anteriormente, dice Rob Ames, investigador de amenazas de SecurityScorecard.

Por ejemplo, Volt Typhoon parece haber sido responsable de comprometer hasta el 30% (o 325 de 1,116) de los enrutadores Cisco RV320/325 al final de su vida útil que SecurityScorecard observó en la botnet C2 durante un período de 37 días. Los investigadores del proveedor de seguridad observaron conexiones regulares entre los dispositivos Cisco comprometidos y la infraestructura conocida de Volt Typhoon entre el 1 de diciembre de 2023 y el 7 de enero de 2024, lo que sugiere una operación muy activa.

La investigación de SecurityScorecard también mostró a Volt Typhoon implementando “fy.sh”, un shell web hasta ahora desconocido en los enrutadores Cisco y otros dispositivos de red a los que el grupo apunta actualmente. Además, SecurityScorecard pudo identificar varias direcciones IP nuevas que parecían vinculadas a la actividad de Volt Typhoon.

"SecurityScorecard utilizó IoC previamente circulados vinculados a Volt Typhoon para identificar los dispositivos recientemente comprometidos que observamos, el webshell no especificado previamente (fy.sh) y las otras direcciones IP que pueden representar nuevos IoC", dice Ames.

Ciberataques para vivir de la tierra

tifón de voltios es un grupo de amenaza que el Agencia de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha identificado como un actor de amenazas chino patrocinado por el estado que apunta a sectores de infraestructura críticos de EE. UU. Microsoft, el primero en informar sobre el grupo en mayo de 2023, lo describió como activo desde al menos mayo de 2021, con sede en China y realizando ciberespionaje a gran escala utilizando una serie de técnicas de subsistencia. La compañía ha evaluado que el grupo está desarrollando capacidades para interrumpir las capacidades de comunicaciones críticas entre Estados Unidos y Asia durante posibles conflictos futuros.

Ames dice que el uso de enrutadores comprometidos por parte de Volt Typhoon para transferencias de datos es una indicación del compromiso del grupo con el sigilo.

"El grupo a menudo enruta su tráfico a través de estos dispositivos para evitar la detección geográfica cuando se dirige a organizaciones en la misma área que los enrutadores comprometidos", dice. "Es menos probable que estas organizaciones noten actividad maliciosa si el tráfico involucrado parece originarse en el área en la que tiene su sede la organización".

Ataque cibernético de equipos vulnerables al final de su vida útil

Que Volt Typhoon apunte a dispositivos al final de su vida útil también tiene mucho sentido desde la perspectiva del atacante, dice Ames. Hay unas 35 vulnerabilidades críticas conocidas con una clasificación de gravedad de al menos 9 sobre 10 en la escala CVSS (incluidas dos en el catálogo de vulnerabilidades explotadas conocidas de CISA) asociadas con los enrutadores Cisco RV320 a los que Volt Typhoon ha estado apuntando. Cisco dejó de publicar correcciones de errores, versiones de mantenimiento y reparaciones para la tecnología hace tres años, en enero de 2021. Además de los dispositivos Cisco, la botnet vinculada a Volt Typhoon también incluye enrutadores DrayTek Vigor y Netgear ProSafe heredados comprometidos.

"Desde la perspectiva de los dispositivos en sí, son una fruta madura", dice Ames. "Dado que 'fin de vida' significa que los productores de los dispositivos ya no emitirán actualizaciones para ellos, es probable que las vulnerabilidades que los afectan no se aborden, dejando a los dispositivos susceptibles a verse comprometidos".

Callie Guenther, gerente senior de investigación de amenazas cibernéticas en Critical Start, dice que el objetivo estratégico de Volt Typhoon de los enrutadores Cisco al final de su vida útil, su desarrollo de herramientas personalizadas como fy.sh y su orientación geográfica y sectorial sugieren una operación altamente sofisticada.

"Centrarse en sistemas heredados no es una táctica común entre los actores de amenazas, principalmente porque requiere conocimientos específicos sobre sistemas más antiguos y sus vulnerabilidades, que pueden no ser ampliamente conocidas o documentadas", dice Guenther. "Sin embargo, es una tendencia creciente, especialmente entre los actores patrocinados por el Estado que tienen los recursos y la motivación para realizar un reconocimiento extenso y desarrollar hazañas personalizadas".

Como ejemplos, señala múltiples actores de amenazas dirigidas a los llamados Ripple20 vulnerabilidades en una pila TCP/IP que afectó a millones de dispositivos IoT heredados, así como a grupos de amenazas chinos e iraníes que apuntaban a fallas en productos VPN más antiguos.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/cyber-risk/volt-typhoon-ramps-up-malicious-activity-critical-infrastructure