Bolt Typhoon es un grupo de piratería patrocinado por el estado chino que ha estado activo desde al menos mediados de 2021 y apunta a sectores de infraestructura críticos en los Estados Unidos y sus territorios.
El grupo utiliza técnicas sofisticadas para infiltrarse en redes utilizando “enrutadores comprometidos” y “otros dispositivos” con el fin de mantener un perfil bajo mientras realiza “espionaje”.
Un analista de seguridad, Owais Khan, descubrió recientemente Bolt Typhoon al identificar que la herramienta ExoneraTor, que ayuda a detectar direcciones IP, está vinculada a la red Tor.
Detección de dirección IP de ExoneraTor
ExoneraTor es una herramienta especializada desarrollada por el Proyecto Tor que verifica si una “dirección IP” particular era parte de la red Tor en una fecha particular.
Analiza archivos sospechosos con ANY.RUN: Intergarte With You Security Team -> Pruébalo gratis
Este servicio web ayuda a las autoridades, investigadores y particulares a investigar la actividad en línea relacionada con Tor.
Funciona “consultando datos históricos” sobre “relés Tor”, como “nodos de salida”, “relés intermedios” y “guardias de entrada”.
Los usuarios pueden ingresar una dirección IP y una fecha para determinar si estaba actuando como un “retransmisión Tor”.
Búsqueda de retransmisión (Fuente – Medio)
ExoneraTor ayuda con “análisis forense digital”, “seguimiento de cambios en la infraestructura Tor” e “investigación de incidentes en los que el anonimato en línea es un factor”.
Por ejemplo, puedes comprobar “si una IP era un relé de salida de Tor” a través del cual se produce “tráfico anónimo de Internet”.
La herramienta también proporciona datos adicionales como una “huella digital de retransmisión”. Estos tipos de datos son identificadores únicos para los “nodos Tor”.
Esta información es importante para comprender la dinámica de la red Tor y se puede comparar con otras métricas de Tor para un análisis completo.
Si bien ExoneraTor ayuda a verificar la “participación de Tor”, es importante señalar que el “uso de Tor” en sí no indica inherentemente una actividad ilegal. Porque la red también se utiliza para la “protección legítima de la privacidad”.
Según el análisis de los “Resultados de ExoneraTor” y los “Datos de consenso de la red Tor”, “67.205.139.175” se utiliza como “Relé de salida Tor” para que “Volt Typhoon” enmascare la conexión al servidor C2 de “45.63.60.39”. . ”sugiere que probablemente no se utilizó.
Sin embargo, la evidencia concluyente requiere información adicional como “número de puerto” y “metadatos de tráfico”.
Según los investigadores, las organizaciones deberían implementar estrategias en la guía de Identificación y Mitigación de Técnicas Fuera de Tierra para mejorar la detección de técnicas LOTL.
Estos incluyen “establecer bases de seguridad sólidas”, “emplear análisis de comportamiento” y “llevar a cabo una búsqueda proactiva de amenazas”.
Debido a las “malas prácticas” y los “patrones de comportamiento normal indefinidos”, muchas empresas luchan con la “detección de LOTL” y se está volviendo difícil identificar “actividades maliciosas”. Los “IOC” tradicionales a menudo resultan insuficientes para identificar ataques LOTL.
Mitigar eficazmente las amenazas LOTL en entornos de red modernos requiere un enfoque de ciberseguridad integral que incorpore detección avanzada de anomalías, análisis de comportamiento avanzado y búsqueda proactiva continua.
Cómo elegir la solución SIEM gestionada definitiva para su equipo de seguridad -> Descargue la guía gratuita (PDF)
ExoneraTor Tool Detects IP Address Linked With Tor Network, Uncovers Volt Typhoon
