La actividad recientemente expuesta del grupo de piratería informática Volt Typhoon, respaldado por China, ha llevado a funcionarios estadounidenses a emitir advertencias de que el panorama de las ciberamenazas se ha alterado permanentemente. En particular, la actividad señala un cambio fundamental en los objetivos y técnicas de las operaciones cibernéticas patrocinadas por el Estado.
Una nueva forma de ciberamenaza
Durante muchos años, los objetivos principales de las actividades de piratería patrocinadas por el Estado se limitaban en la mayoría de los casos al espionaje estratégico e industrial. Es decir, ya sea que los actores de la amenaza fueran entidades gubernamentales oficiales o bandas independientes patrocinadas por gobiernos nacionales, sus esfuerzos se dirigieron principalmente a infiltrarse en los sistemas con el objetivo de robar datos valiosos.
En algunos casos, se trataba de sistemas gubernamentales que albergaban planificación estratégica y otros datos secretos, y en otros, el objetivo era encontrar y exfiltrar secretos comerciales corporativos para obtener ventajas económicas competitivas. Sólo en muy raras ocasiones, como en la violación de Sony Pictures en 2014 , supuestamente llevada a cabo por actores de amenazas norcoreanos, el objetivo principal fue aparentemente un sabotaje directo; e incluso entonces, no estaba dirigido a ningún tipo de infraestructura crítica
La guerra cibernética también ha sido un uso común de la tecnología en conflictos, como el ataque ruso de 2017 a objetivos ucranianos ( WannaCry, NotPetya ). Pero en estos casos, el objetivo ha sido principalmente táctico: una interrupción inmediata de las capacidades bélicas del enemigo.
Pero como explicó mi colega Christine Barry en un artículo reciente , la actividad de Volt Typhoon es fundamentalmente diferente. Como se detalla en un aviso de ciberseguridad de febrero de 2024 emitido por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), esta actividad ha implicado penetrar y mantener el acceso a sistemas de infraestructura críticos que no tienen valor de espionaje, pero que, en el caso de un conflicto intensificado, podría tener un enorme valor estratégico.
Activos de preposicionamiento
El objetivo de esta actividad no es difícil de entender. En caso de que aumente la tensión o incluso una crisis que conduzca a un conflicto armado con los Estados Unidos, la República Popular China tiene la intención de contar con capacidades ya establecidas para perturbar las capacidades de los EE. UU. saboteando la infraestructura crítica y las capacidades industriales, sembrando el caos y el pánico, y generalmente arruinando las cosas. No hay duda de que tales actividades podrían tener consecuencias gravemente peligrosas para las comunidades y las personas de todo el país.
“Está muy claro que los intentos chinos de comprometer la infraestructura crítica son en parte para posicionarse previamente para poder perturbar o destruir esa infraestructura crítica en caso de un conflicto, ya sea para impedir que Estados Unidos pueda proyectar poder en Asia o causar caos social dentro de Estados Unidos, afectar nuestra toma de decisiones en torno a una crisis”, dijo Brandon Wales, director ejecutivo de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional. "Ese es un cambio significativo con respecto a la actividad cibernética china de hace siete a diez años, que se centraba principalmente en el espionaje político y económico". — El Washington Post
Una nueva postura para el futuro
Aunque el Departamento de Justicia confía en que las intrusiones descubiertas recientemente se han resuelto con éxito, la comunicación clara de CISA y otros es que esto representa una nueva normalidad para el panorama de la ciberseguridad y una preocupación constante para las agencias de ciberdefensa de EE. UU., cuya postura tendrá que cambiar. ajustarse en consecuencia.
Debido a que Volt Typhoon (y, presumiblemente, campañas futuras) emplean una variedad de técnicas de vida de la tierra (LotL) para minimizar los indicadores tradicionales de compromiso (IoC), la guía recientemente publicada por CISA sobre formas de detectar tales técnicas se promueve cada vez más. para organizaciones de infraestructura crítica tanto gubernamentales como privadas.
El informe reciente de CISA también incluye una lista de acciones que todos pueden tomar de inmediato para mitigar el riesgo de la actividad del Volt Typhoon:
Aplique parches para sistemas con acceso a Internet. Dar prioridad a la reparación de vulnerabilidades críticas en dispositivos que se sabe que Volt Typhoon explota con frecuencia. Esto incluye enrutadores, VPN y firewalls con vulnerabilidades conocidas o de día cero.
Implementar MFA resistente al phishing. El uso de autenticación multifactor para todos los sistemas críticos, o mejor aún, la implementación de una arquitectura de confianza cero , puede reducir drásticamente el riesgo de intrusiones que utilizan credenciales robadas.
Asegúrese de que el registro esté activado para los registros de aplicaciones, acceso y seguridad y almacene los registros en un sistema central. Ante el primer indicio de una intrusión, tener un repositorio centralizado de registros de eventos es fundamental para determinar el alcance y los detalles del problema.
Planifique el “fin de vida” de la tecnología más allá del ciclo de vida admitido por el fabricante . Los dispositivos y el hardware de borde a menudo mantienen la funcionalidad operativa en los sistemas con sede en EE. UU. después de que han llegado al final de su vida útil y ya no cuentan con parches para sellar las vulnerabilidades recién descubiertas. Volt Typhoon (y muchos otros actores de amenazas) escanean rutinariamente los sistemas de las víctimas potenciales en busca de dichos dispositivos.
Cauto optimismo
Aunque esta alteración en el entorno estratégico de ciberseguridad es claramente digna de grave preocupación, los líderes de ciberseguridad del gobierno de EE. UU. en la reciente conferencia RSA y en entrevistas con The Record ofrecieron algunas razones para ser optimistas en cuanto a que estamos dando un giro en términos de adoptar una nueva y más Postura de seguridad eficaz en respuesta a las nuevas amenazas:
"Yo diría que el adversario no mide 10 pies de altura, y colectivamente no estamos en un rincón en posición fetal con un ábaco", dijo el general de división del Cuerpo de Marines Loran Mahlock, jefe de la Fuerza de Misión Nacional Cibernética del Comando Cibernético de EE. UU. dijo durante una mesa redonda esta semana.
“Tenemos nuestros socios industriales que piensan deliberada y realmente creativamente sobre las amenazas que existen. Y creo que esa es realmente nuestra ventaja asimétrica y nuestra superpotencia".
[Eric Goldstein, subdirector ejecutivo de ciberseguridad] de CISA dijo que, por mucho que los funcionarios hayan hecho sonar la alarma sobre Volt Typhoon, el gobierno también tiene la intención de pregonar sus éxitos contra el grupo vinculado a China. "Creo que hablaremos públicamente sobre el progreso que estamos viendo en el fortalecimiento y la fabricación de infraestructuras críticas más resilientes tal como las vemos", dijo. - The Record, 9 de mayo de 2024