El gobierno de Estados Unidos anunció que había interrumpido la botnet del actor de amenazas Volt Typhoon, que utilizaba para atacar infraestructuras críticas en Estados Unidos y otros países.
Una operación autorizada por el poder judicial estadounidense en diciembre de 2023 destruyó una botnet de cientos de enrutadores SOHO (pequeñas oficinas/oficinas domésticas) con sede en EE. UU. secuestrados por piratas informáticos patrocinados por el Estado de la República Popular China (RPC).
Volt Typhoon atacó infraestructura crítica
Los piratas informáticos, conocidos en el sector privado como “Volt Typhoon”, utilizaron enrutadores SOHO privados infectados con el malware “KV Botnet” para rastrear el origen de actividades de piratería adicionales contra víctimas estadounidenses y extranjeras de la República Popular para ocultar a China. Estas actividades de piratería adicionales incluyeron una campaña contra organizaciones de infraestructura crítica en los Estados Unidos y en otras partes del mundo. En mayo de 2023, estos ataques fueron objeto de un aviso del FBI, la Agencia de Seguridad Nacional, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y socios extranjeros. Esta misma actividad fue objeto de avisos a socios del sector privado en mayo y diciembre de 2023, así como de una alerta adicional Secure by Design emitida hoy por CISA.
"El desmantelamiento de la botnet KV por parte del FBI es una señal clara de que el FBI tomará medidas decisivas para proteger la infraestructura crítica de nuestra nación de los ataques cibernéticos", dijo el agente especial a cargo Douglas Williams de la oficina local del FBI en Houston. "Al garantizar que los enrutadores domésticos y de pequeñas empresas sean reemplazados al final de su vida útil, los ciudadanos comunes pueden proteger tanto su ciberseguridad personal como la seguridad digital de los Estados Unidos".
Comentario de Google Mandiant
“Volt Typhoon se centra en infraestructuras críticas (KTITIS), como plantas de tratamiento de agua, redes eléctricas, etc. Al pasar desapercibido, el actor trabaja arduamente para reducir los rastros que nos permiten rastrear sus actividades a través de las redes. El grupo utiliza sistemas comprometidos para obtener acceso subrepticio a la actividad normal de la red, cambiando constantemente la fuente de su actividad. Evita el uso de malware ya que podría dar la alarma y darnos algo tangible. El seguimiento de dichas actividades es extremadamente difícil, pero no imposible. Mandiant y Google se centran en mantenerse a la vanguardia, trabajando en estrecha colaboración con clientes y socios.
Rusia también busca lagunas
Esta no es la primera vez que infraestructura crítica de Estados Unidos ha sido atacada de esta manera. En varias ocasiones, actores de la inteligencia rusa fueron descubiertos en medio de operaciones similares que finalmente quedaron al descubierto. Estas operaciones son peligrosas y exigentes, pero no imposibles.
El propósito de Volt Typhoon era prepararse para una contingencia sin que nadie se diera cuenta. Afortunadamente, Volt Typhoon no ha pasado desapercibido y, si bien la caza es desafiante, nos estamos adaptando para mejorar la recopilación de inteligencia y frustrar a este actor. Anticipamos sus movimientos, sabemos cómo identificarlos y, lo más importante, sabemos cómo fortalecer las redes a las que se dirigen”. – Sandra Joyce, vicepresidenta de Mandiant Intelligence – Google Cloud.
Más en Justice.gov