Els pirates informàtics xinesos Volt Typhoon van operar sense detectar-se durant 5 anys a la infraestructura crítica dels EUA

El govern dels Estats Units va revelar recentment que un sofisticat grup de pirateria xinès patrocinat per l'estat, identificat com Volt Typhoon , va aconseguir infiltrar-se en xarxes d'infraestructures crítiques als Estats Units i Guam, sense ser detectat durant cinc anys. Aquests sistemes crítics dirigits per Volt Typhoon abasten diversos sectors, com ara comunicacions, energia, transport i gestió d'aigua i aigües residuals.

El que distingeix les activitats de Volt Typhoon és el seu enfocament no convencional, que divergeix de les operacions típiques d'espionatge cibernètic. Segons les autoritats nord-americanes, les tàctiques del grup suggereixen un esforç premeditat per establir un punt de suport a les xarxes de TI, que els permeti maniobrar cap a actius de tecnologia operativa (OT) amb la intenció d'interrompre les funcions essencials .

L'avís conjunt publicat per l'Agència de Ciberseguretat i Seguretat de la Infraestructura (CISA), l'Agència de Seguretat Nacional (NSA) i l'Oficina Federal d'Investigacions (FBI), juntament amb el suport de les nacions de l'aliança d'intel·ligència Five Eyes, posa de manifest la gravetat de la situació. Aquest grup de pirates informàtics, conegut alternativament com a Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda o Voltzite, està actiu almenys des de juny de 2021.

El modus operandi de Volt Typhoon implica la utilització de tècniques avançades com ara "viure de la terra" (LotL), que els permet operar de manera encoberta combinant activitats malicioses amb un comportament legítim de la xarxa. A més, utilitzen servidors intermediaris multi-hop com KV-botnet per ofuscar els orígens dels seus atacs, cosa que dificulta l'atribució.

CrowdStrike, una empresa de ciberseguretat, va assenyalar la dependència de Volt Typhoon en una àmplia gamma d'eines de codi obert adaptades a víctimes específiques, demostrant un alt nivell de sofisticació i planificació estratègica. El grup realitza meticulosament el reconeixement, adapta les seves tàctiques als entorns orientats i manté la persistència mitjançant l'ús de comptes vàlids i mesures de seguretat operatives sòlides.

Un dels seus objectius principals és obtenir credencials d'administrador dins de les xarxes, aprofitant els defectes d'escalada de privilegis per facilitar el moviment lateral i el reconeixement. La seva estratègia a llarg termini consisteix a mantenir l'accés a entorns compromesos, perfeccionant contínuament les seves tècniques per evadir la detecció i ampliar els accessos no autoritzats.

A més de les credencials robades, Volt Typhoon empra tècniques LotL per evitar deixar rastres de programari maliciós, millorant la seva sigil·lació i seguretat operativa. Arriben a suprimir registres orientats per ocultar les seves accions en entorns compromesos, cosa que complica encara més els esforços per descobrir les seves activitats.

Aquesta revelació coincideix amb les troballes de Citizen Lab sobre una campanya d'influència generalitzada, anomenada PAPERWALL, que implica més de 123 llocs web que suplanten mitjans locals de notícies de 30 països. Aquests llocs web, enllaçats a una empresa de relacions públiques amb seu a Pequín anomenada Shenzhen Haimaiyunxiang Media Co., Ltd., difonen contingut pro-Xina alhora que eliminen articles crítics després de la publicació.

Tot i que l'ambaixada xinesa a Washington rebutja les denúncies de desinformació, aquests incidents subratllen la creixent preocupació per les capacitats cibernètiques de la Xina i influeixen en les operacions a escala mundial.