Volt Typhoon ataca infraestructura crítica de EE. UU. con técnicas "Living-off-the-Land"

El autor del ataque es Volt Typhoon, un actor patrocinado por el estado con sede en China que normalmente se centra en el espionaje y la recopilación de información. Microsoft determina sin tener la absoluta seguridad que esta campaña de Volt Typhoon busca el desarrollo de capacidades que podrían alterar la infraestructura de comunicaciones críticas entre los Estados Unidos y la región de Asia durante futuras crisis.

Volt Typhoon ha estado activo desde mediados de 2021 y ha dirigido sus ataques a organizaciones de infraestructura crítica de Guam y otras partes de Estados Unidos. En esta campaña, las organizaciones afectadas pertenecen a los sectores de comunicaciones, fabricación, servicios públicos, transporte, construcción, ámbito marítimo, gobierno, tecnología de la información y educación. El comportamiento observado sugiere que el  actor de la amenaza  tiene la intención de realizar espionaje y mantener el acceso sin ser detectado durante el mayor tiempo posible.

Para lograr su objetivo, el actor de la amenaza pone un fuerte énfasis en el sigilo en esta campaña, y confía casi exclusivamente en técnicas Living-off-the-Land y actividad "hands-on-keyboard". Emite comandos a través de la línea de comandos para (1) recopilar datos, incluidas credenciales de sistemas locales y de red, (2) colocar los datos en un archivo para prepararlos para la filtración y, luego, (3) usar las credenciales válidas robadas para mantener la persistencia. Además, Volt Typhoon intenta integrarse en la actividad normal de la red enrutando el tráfico a través de equipos de red de pequeñas oficinas y oficinas domésticas (SOHO) expuestos, como enrutadores, firewalls y hardware de VPN. También se le ha observado utilizando versiones personalizadas de herramientas de código abierto para establecer un canal de comando y control (C2) a través del proxy para seguir permaneciendo bajo el radar.

En esta  publicación de blog, compartimos información sobre Volt Typhoon, su campaña dirigida a proveedores de infraestructura crítica y sus tácticas para lograr y mantener el acceso no autorizado a las redes objetivo. Debido a que esta actividad se basa en cuentas válidas y binarios Living-off-the-Land (LOLBins), detectar y mitigar este ataque podría resultar todo un desafío. Las cuentas en peligro deben cerrarse o modificarse. Al final de esta  entrada de blog, compartimos más pasos de mitigación y procedimientos recomendados, además de proporcionar detalles sobre cómo Microsoft 365 Defender detecta actividades malintencionadas y sospechosas para proteger a las organizaciones ante este tipo de ataques sigilosos. La Agencia de Seguridad Nacional (NSA) de los Estados Unidos también ha publicado una  advertencia de ciberseguridad [PDF]  que contiene una guía de búsqueda de las tácticas, técnicas y procedimientos (TTP) que se analizan en este blog. Consulta la  entrada de blog completa  para obtener más información.

Al igual que con cualquier otra actividad observada de un actor de estado nación, Microsoft ha enviado una notificación directamente a los clientes objetivo o en peligro, y les ha proporcionado información importante necesaria para proteger sus entornos. Para conocer el enfoque de Microsoft en cuanto al seguimiento de actores de amenazas, lea  Microsoft cambia a una nueva taxonomía de nombres de actores de amenazas.