Hackers con vínculos con el gobierno chino se han infiltrado en varios proveedores de servicios de Internet de Estados Unidos en los últimos meses en busca de información confidencial, informó el miércoles The Wall Street Journal, citando a personas familiarizadas con el asunto. Esta es la última intrusión en la infraestructura central de Estados Unidos por parte de entidades vinculadas a Beijing. En una operación de piratería informática que los investigadores denominaron “Salt Typhoon”, estos ciberatacantes, que supuestamente tenían vínculos con China, se infiltraron en las redes de banda ancha de Estados Unidos.
“Este tipo de intrusión tiene como objetivo hacerse un hueco dentro de la infraestructura de un proveedor de cable o de banda ancha, accediendo a los datos almacenados por el operador o lanzando un ciberataque dañino”, dice el podcast Minute Briefing del WSJ. “Esta intrusión fue el resultado de la enorme fuerza de ciberespionaje digital de Beijing que se infiltró silenciosa y exitosamente en redes informáticas críticas en los Estados Unidos y en todo el mundo”.
La operación de piratería Salt Typhoon, que no se ha hecho pública hasta ahora, es la última de una serie de intrusiones que investigadores estadounidenses han vinculado con China en los últimos años. La intrusión es una señal de que el gran ejército de ciberespionaje digital de Beijing está logrando silenciosamente infiltrarse en redes informáticas críticas en Estados Unidos y en todo el mundo.
La embajada china en Washington no respondió de inmediato a una solicitud de comentarios, según el WSJ. China ha negado sistemáticamente las afirmaciones de gobiernos y empresas de tecnología occidentales de que depende de piratas informáticos para ingresar a las redes informáticas de gobiernos y empresas extranjeros.
Al comentar sobre la noticia del ataque Salt Typhoon y su impacto en los entornos OT y las instalaciones de infraestructura crítica, Doug Britton, CSO de RunSafe Security, dijo en un comunicado enviado por correo electrónico que la utilización de la red para las redes OT se ha congestionado y escribió que las redes OT habrían. sido afectado. “Habría habido una gran afluencia de contenido de comando y control, así como paquetes adicionales relacionados con ataques de denegación de servicio y mayor monitoreo para expandir la red”.
También dijo que afectaría la funcionalidad de muchos dispositivos en la red OT, provocando su mal funcionamiento, impactando así los procesos comerciales que dependen de esos dispositivos OT.
Joe Saunders, director ejecutivo de RunSafe Security, dijo que China parece tener un profundo acceso a las capacidades de enrutamiento de los principales proveedores de servicios de Internet, lo que podría permitirles acceder a datos confidenciales y manipular el enrutamiento de la red. Sin embargo, esto también demuestra que China puede apuntar a enrutadores de red que. están desplegados en toda la infraestructura.
“La OT puede verse afectada de varias maneras, incluida la intrusión en la cadena de suministro y el firmware inseguro”, dijo en un comunicado Terry Dunlap, estratega jefe de seguridad de NetRise.
Agregó que suponiendo que el dispositivo OT incluya un controlador Ethernet para comunicarse con otros dispositivos OT: “Considere un escenario en el que un controlador Ethernet se fabrica en Taiwán o China. En tal caso, la grave preocupación sería que un ataque patrocinado por el estado pudiera provocar que los empleados del fabricante perdieran el acceso a parte del código para el acceso remoto. En el segundo caso, el firmware que ejecuta el dispositivo OT podría ser inseguro si el empleado no cumple con el código o es posible que se esté ejecutando el código de la facultad.
Dunlap señaló que los atacantes podrían desarrollar rápidamente exploits para acceder y controlar dispositivos OT utilizando código inseguro. “Muchos de los dispositivos OT e IoT que se comercializan hoy en día contienen vectores de ataque de bajo nivel y fácilmente explotables”.
El CSO de Phosphorus, John Terrill, cree que aún es demasiado pronto para saberlo. “En este momento, Salt Typhoon se limita a los proveedores de servicios de Internet, lo que definitivamente se considera infraestructura crítica. Los ISP tienden a tener menos entornos OT tradicionales, pero eso no significa que esos entornos sean el objetivo de los mismos problemas que afectan a los ISP. en todos los niveles de la cadena de suministro, incluidas las credenciales predeterminadas, la falta de parches y las contraseñas débiles”, añadió.
“Aunque algunas instalaciones tienen comunicaciones de respaldo, las comunicaciones entre instalaciones, incluso las comunicaciones clasificadas, tienden a utilizar la misma infraestructura de banda ancha que utilizan los estadounidenses comunes y corrientes, Tom Marsland, vicepresidente de tecnología de Cloud Range, escribió: “Las organizaciones que utilizan sistemas de control industrial conectados, como cualquier otro sistema conectado, están en riesgo aquí. Los funcionarios del gobierno de los EE. UU. creen que los actores de amenazas con sede en China dicen que han penetrado con éxito la infraestructura crítica de los EE. UU., incluidos sistemas, aeropuertos y oleoductos y gasoductos. .
Marsland añadió: “Los sistemas de comunicaciones corren mayor riesgo en un tifón de sal, pero considere los sistemas de monitoreo críticos que alertan al personal de servicio en caso de un problema en una instalación de procesamiento. “Si algo sucede o se rompe, no recibirán ninguna advertencia. y la infraestructura podría resultar dañada”.
La semana pasada, las autoridades estadounidenses frustraron a un grupo de hackers chino llamado Flax Typhoon, cuya red de más de 200.000 enrutadores, cámaras y otros dispositivos de consumo conectados a Internet había servido como puerta de entrada a las redes estadounidenses. Se anunció en detalle que había sido bloqueada. . Las autoridades han determinado que los ciberactores vinculados a la República Popular China (RPC) han creado una red de nodos comprometidos, conocida como “botnet”, para actividades maliciosas.
Los piratas informáticos utilizan estas botnets para comprometer miles de dispositivos conectados a Internet, incluidos enrutadores SOHO (pequeñas oficinas/oficinas en el hogar), firewalls, almacenamiento conectado a la red (NAS) y dispositivos de Internet de las cosas (IoT). Luego, los piratas informáticos utilizan la botnet como proxy para ocultar su identidad mientras implementan ataques distribuidos de denegación de servicio (DDoS) o comprometen redes estadounidenses específicas.
A principios de este año, se impidió que un grupo chino llamado Volt Typhoon se infiltrara en sistemas de infraestructura críticos en Estados Unidos. Estos atacantes han comprometido a organizaciones estadounidenses, particularmente en las áreas de comunicaciones, energía, transporte y sistemas de agua y aguas residuales. Los piratas informáticos rara vez utilizan malware para la ejecución posterior al compromiso. En cambio, una vez que obtiene acceso al entorno de destino, mantiene y amplía su acceso a la red de la víctima mediante operaciones directas de teclado a través de la línea de comandos y otras herramientas y procesos del sistema nativos. Esto se conoce como técnica Living Off The Land (LOTL).
Ana Ribeiro
Editor de noticias cibernéticas industriales. Anna Ribeiro es periodista freelance con más de 14 años de experiencia en seguridad, almacenamiento de datos, virtualización e IoT.
https://industrialcyber.co/critical-infrastructure/china-linked-hackers-allegedly-target-us-internet-services-in-salt-typhoon-attack/
