El Centro Nacional de Respuesta a Emergencias contra Virus Informáticos (CVERC) de China ha redoblado sus afirmaciones de que el actor malicioso conocido como Voltio del tifón Es una producción de Estados Unidos y sus aliados.
La agencia, junto con el Laboratorio Nacional de Ingeniería para Tecnología de Prevención de Virus Informáticos, acusó posteriormente al gobierno federal de Estados Unidos, a las agencias de inteligencia y a los países de Five Eyes de realizar actividades de ciberespionaje contra China, Francia, Alemania, Japón y usuarios de Internet de todo el mundo. .
También dijo que hay “evidencias convincentes” de que Estados Unidos está llevando a cabo operaciones de bandera falsa para tratar de encubrir sus propios ciberataques maliciosos, y añadió que está inventando el “llamado peligro de los ciberataques chinos” y que han establecido un ” gran red global de vigilancia de Internet a gran escala”.
“Y el hecho de que Estados Unidos haya abrazado los ataques a la cadena de suministro, haya colocado puertas traseras en los productos de Internet y los haya ‘preposicionado’ ha desacreditado completamente el Volt Typhoon, una farsa política escrita, dirigida e implementada por el gobierno federal estadounidense”, podemos leer. dicho.
“La base militar estadounidense en Guam no fue en absoluto víctima de los ciberataques del Volt Typhoon, sino que fue la iniciadora de un gran número de ciberataques contra China y muchos países del Sudeste Asiático y el foco de los datos robados”.
Cabe señalar que un informe anterior publicado por CVERC en julio caracterizado el tifón Volt como campaña de desinformación orquestado por las agencias de inteligencia estadounidenses.
Volt Typhoon es el apodo que se le da a un grupo de ciberespionaje vinculado a China que se cree que ha estado activo desde 2019, integrándose sigilosamente en redes de infraestructura crítica enrutando el tráfico a través de dispositivos periféricos que comprometen enrutadores, firewalls y hardware VPN en un esfuerzo por integrarse y volar bajo control. el radar.
A finales de agosto de 2024, se vinculó a la explotación de día cero de una falla de seguridad de alta gravedad que afectaba a Versa Director (CVE-2024-39717, puntuación CVSS: 6,6) para proporcionar un shell web llamado VersaMem para facilitar el robo de credenciales y ejecutar código arbitrario.
El uso de dispositivos de borde por parte de conjuntos de intrusión vinculados a China se ha convertido en una tendencia en los últimos años, y algunas campañas los utilizan como cajas de retransmisión operativas (ORB) para evadir la detección.
Esto está respaldado por un informe reciente publicado por la firma francesa de ciberseguridad Sekoia, que atribuye a los actores de amenazas probablemente de origen chino una campaña de ataque a gran escala que infecta dispositivos periféricos como enrutadores y cámaras para implementar puertas traseras como GobRAT y Bulbature para ataques posteriores. contra objetivos de interés.
“Bulbature, un implante que aún no ha sido documentado como código abierto, parece usarse únicamente para convertir el dispositivo Edge comprometido en un ORB para transmitir ataques contra las redes de las víctimas finales”, dijeron los investigadores. dicho.
“Esta arquitectura, compuesta por dispositivos periféricos comprometidos que actúan como ORB, permite a un operador realizar operaciones cibernéticas ofensivas a nivel mundial, cerca de objetivos finales y enmascarar su ubicación mediante la creación de túneles proxy a pedido”.
En el último documento de 59 páginas, las autoridades chinas dijeron que más de 50 expertos en seguridad de Estados Unidos, Europa y Asia se habían puesto en contacto con CVERC, expresando su preocupación por “la falsa narrativa estadounidense” sobre el tifón Volt y la falta de pruebas que vinculen al tifón Volt. . actor de amenaza para China.
La CVERC, sin embargo, no nombró a estos expertos ni sus razones para apoyar esta hipótesis. Dijo además que las agencias de inteligencia estadounidenses crearon un conjunto de herramientas sigilosas denominado Marble a más tardar en 2015 en un esfuerzo por confundir los esfuerzos de atribución.
“El Toolkit es un marco de herramientas que se puede integrar con otros proyectos de desarrollo de armas cibernéticas para ayudar a los desarrolladores de armas cibernéticas a ocultar varias características identificables en el código del programa, “borrando” efectivamente las “huellas digitales” de los desarrolladores de armas cibernéticas”, dijo.
“Además, el marco tiene una función más “descarada” al insertar cadenas en otros idiomas, como chino, ruso, coreano, persa y árabe, lo que obviamente tiene como objetivo engañar a los investigadores, engañar y atrapar a China, Rusia, Corea del Norte, Irán y Países árabes.
El informe aprovecha además la oportunidad para acusar a Estados Unidos de confiar en sus “ventajas tecnológicas y geológicas innatas en la construcción de Internet” para controlar los cables de fibra óptica a través del Atlántico y el Pacífico y utilizarlos para una “vigilancia indiscriminada” de los usuarios de Internet. global.
También alegó que empresas como Microsoft y CrowdStrike han recurrido a apodos “absurdos” con “evidentes connotaciones geopolíticas” para grupos de actividades amenazantes con nombres como “tifón”, “panda” y “dragón”.
“Una vez más, nos gustaría pedir una amplia colaboración internacional en este ámbito”, concluye. “Además, las empresas de ciberseguridad y los institutos de investigación deberían centrarse en la investigación tecnológica contra las ciberamenazas y en mejores productos y servicios para los usuarios”.