De los riesgos de ciberseguridad que enfrenta Estados Unidos hoy en día, pocos son más importantes que las potenciales capacidades de sabotaje que plantean los piratas informáticos respaldados por China, que altos funcionarios estadounidenses han descrito como una “amenaza que define una época”.
En los últimos meses, funcionarios de inteligencia estadounidenses dijeron que piratas informáticos respaldados por el gobierno chino han estado introduciéndose profundamente en las redes de infraestructura crítica de Estados Unidos, incluidos proveedores de agua, energía y transporte. El objetivo, dicen los funcionarios, es sentar las bases para ataques cibernéticos potencialmente destructivos en caso de un futuro conflicto entre China y Estados Unidos, como por ejemplo una posible invasión china de Taiwán.
“Los piratas informáticos chinos se están posicionando en la infraestructura estadounidense en preparación para causar estragos y causar daños en el mundo real a los ciudadanos y comunidades estadounidenses, si China decide que ha llegado el momento de atacar”, dijo el director del FBI, Christopher Wray, a los legisladores a principios de este año.
Desde entonces, el gobierno de Estados Unidos y sus aliados han tomado medidas contra la familia “Typhoon” de grupos de hackers chinos y han publicado nuevos detalles sobre las amenazas que representan.
En enero, EE.UU. interrumpido denominado “Volt Typhoon”, un grupo de piratas informáticos del gobierno de China encargados de preparar el escenario para ataques cibernéticos destructivos. Más tarde, en septiembre, los federales secuestró una botnet dirigido por otro grupo de hackers chino llamado “Flax Typhoon”, que se hace pasar por una empresa privada en Beijing y cuyo papel era ayudar a ocultar las actividades de los hackers del gobierno de China. Desde entonces, surgió un nuevo grupo de piratas informáticos respaldado por China llamado “Salt Typhoon”, capaz de recopilar inteligencia sobre los estadounidenses (y objetivos potenciales de la vigilancia estadounidense) comprometiendo los sistemas de escuchas telefónicas de los proveedores de telefonía e Internet de los EE. UU.
Esto es lo que sabemos hasta ahora sobre los grupos de hackers chinos que se preparan para la guerra.
Voltio tifón
Volt Typhoon representa una nueva generación de grupos de piratería respaldados por China; ya no sólo tiene como objetivo robar secretos sensibles de Estados Unidos, sino más bien prepararse para alterar la “capacidad de movilización” del ejército estadounidense, según el director del FBI.
microsoft identificado por primera vez Volt Typhoon en mayo de 2023, y descubrió que los piratas informáticos habían atacado y comprometido equipos de red, como enrutadores, firewalls y VPN, desde mediados de 2021 como parte de un esfuerzo continuo y concertado para infiltrarse más profundamente en la infraestructura crítica de EE. UU. En realidad, es probable que los piratas informáticos hayan estado operando durante mucho más tiempo; potencialmente hasta cinco años.
Volt Typhoon comprometió miles de dispositivos conectados a Internet en los meses posteriores al informe de Microsoft, explotando vulnerabilidades en dispositivos conectados a Internet que se consideraban “al final de su vida útil” y, como tales, ya no recibirían actualizaciones de seguridad. Como tal, el grupo de piratas informáticos logró posteriormente comprometer los entornos de TI de múltiples sectores de infraestructura crítica, incluidos la aviación, el agua, la energía y el transporte, preposicionándose para activar futuros ciberataques potencialmente disruptivos.
“Este actor no está realizando la recopilación silenciosa de inteligencia y el robo de secretos que ha sido la norma en los EE. UU. Están investigando infraestructuras críticas sensibles para poder interrumpir servicios importantes cuando se dé la orden”, dijo John Hultquist, jefe analista de la firma de seguridad Mandiant.
El gobierno de EE.UU. dijo en enero que había interrumpido con éxito una red de robotsutilizado por Volt Typhoon, que consta de miles de enrutadores de redes domésticas y de pequeñas oficinas secuestrados en los EE. UU., que el grupo de piratería chino utilizó para ocultar su actividad maliciosa dirigida a la infraestructura crítica de los EE. UU. El FBI dijo que pudo eliminar el malware de los enrutadores secuestrados, cortando la conexión del grupo de hackers chino con la botnet.
Tifón de lino
Flax Typhoon, descubierto por primera vez en un informe de agosto de 2023 de Microsoftes otro grupo de piratería respaldado por China que, según los funcionarios, ha operado bajo la apariencia de una empresa de ciberseguridad que cotiza en bolsa con sede en Beijing. La empresa, Integrity Technology Group, ha reconocido públicamente sus conexiones con el gobierno de China, según funcionarios estadounidenses.
En septiembre, el gobierno de Estados Unidos dijo que había tomado el control de otra botnet, utilizada por Flax Typhoon, que aprovechaba una variante personalizada del el infame malware Miraicompuesto por cientos de miles de dispositivos conectados a Internet.
funcionarios estadounidenses dijo en ese momento que La botnet controlada por Flax Typhoon se utilizó para “realizar actividades cibernéticas maliciosas disfrazadas de tráfico de Internet de rutina desde los dispositivos de los consumidores infectados”. Los fiscales dijeron que la botnet dirigida por Flax Typhoon permitió a otros piratas informáticos respaldados por el gobierno de China “piratear redes en Estados Unidos y en todo el mundo para robar información y mantener en riesgo nuestra infraestructura”.
Según el perfil de Microsoft del grupo respaldado por el gobierno, Flax Typhoon ha estado activo desde mediados de 2021, apuntando principalmente a “agencias gubernamentales y organizaciones de educación, fabricación crítica y tecnología de la información en Taiwán”. El Departamento de Justicia dijo que corroboró las conclusiones de Microsoft y que Flax Typhoon también “atacó a múltiples corporaciones estadounidenses y extranjeras”.
Tifón de sal
El último grupo (y potencialmente el más siniestro) del ejército cibernético respaldado por el gobierno de China descubierto en los últimos meses es Salt Typhoon.
Salt Typhoon llegó a los titulares en octubre por una operación mucho más sofisticada. Como informado por primera vez por el Wall Street Journalse cree que el grupo de piratas informáticos vinculado a China comprometió los sistemas de escuchas telefónicas de varios proveedores de telecomunicaciones e Internet de EE. UU., incluidos AT&T, Lumen (anteriormente CenturyLink) y Verizon.
De acuerdo a un informeSalt Typhoon puede haber obtenido acceso a estas organizaciones utilizando enrutadores Cisco comprometidos. Se dice que el gobierno de Estados Unidos se encuentra en las primeras etapas de su investigación.
Si bien se desconoce la magnitud de los compromisos de los proveedores de Internet, el Journal, citando fuentes de seguridad nacional, dijo que la violación podría ser “potencialmente catastrófica”. Hackeando sistemas que los organismos encargados de hacer cumplir la ley utilizan para la recopilación de datos de clientes autorizada por el tribunalel Salt Typhoon potencialmente obtuvo acceso a datos y sistemas que albergan muchas de las solicitudes del gobierno de EE. UU., incluidas las identidades potenciales de objetivos chinos de vigilancia estadounidense.
Aún no se sabe cuándo ocurrió la violación, pero el WSJ informa que los piratas informáticos pueden haber mantenido el acceso a los sistemas de escuchas telefónicas de los proveedores de Internet “durante meses o más”.