La secreta alianza de cinco países ha desarticulado un grupo de piratas informáticos apoyado por China, de una forma inusualmente pública.
Esta semana, la alianza Five Eyes (Cinco Ojos, el pacto de inteligencia entre Australia, Reino Unido, Canadá, Nueva Zelanda y Estados Unidos) anunció su investigación sobre una amenaza de origen chino dirigida contra infraestructuras estadounidenses.
Utilizando técnicas de ocultación, el atacante -denominado “Volt Typhoon”- explotó los recursos existentes en las redes comprometidas, en una técnica denominada “vivir de la tierra”.
Microsoft hizo un anuncio simultáneo, afirmando que el hecho de que los atacantes apuntaran a Guam era revelador de los planes de China de interrumpir potencialmente las infraestructuras críticas de comunicaciones entre Estados Unidos y la región asiática en el futuro.
Este ataque se produce poco después de la noticia, en abril, de un ataque norcoreano a la cadena de suministro del proveedor de telecomunicaciones de Asia-Pacífico 3CX. En este caso, los piratas informáticos accedieron al ordenador de un empleado utilizando una aplicación de escritorio para Windows y un paquete de instalación de software firmado comprometidos.
El anuncio de Volt Typhoon ha llevado a la Agencia de Seguridad Nacional de Estados Unidos a admitir que Australia y otros socios de los Five Eyes participan en un plan de búsqueda y detección selectiva para descubrir las operaciones cibernéticas clandestinas de China.
Este tipo de declaraciones públicas por parte de la alianza de los Five Eyes son escasas y poco frecuentes. Sin embargo, detrás de la cortina, esta red está persistentemente comprometida en tratar de derribar adversarios extranjeros. Y no es tarea fácil.
Echemos un vistazo a los acontecimientos que condujeron a Volt Typhoon y, más en general, a cómo opera esta secreta alianza transnacional.
Descubriendo Volt Typhoon
Volt Typhoon es un “grupo de amenazas persistentes avanzadas” que lleva activo al menos desde mediados de 2021. Se cree que está patrocinado por el gobierno chino y tiene como objetivo organizaciones de infraestructuras críticas en Estados Unidos.
El grupo ha centrado gran parte de sus esfuerzos en Guam. Situado en el Pacífico occidental, este territorio insular de EEUU alberga una importante y creciente presencia militar estadounidense, que incluye la fuerza aérea, un contingente de marines y submarinos con capacidad nuclear.
Es probable que los atacantes del Volt Typhoon pretendieran acceder a redes conectadas a infraestructuras críticas estadounidenses para interrumpir las comunicaciones y los sistemas de mando y control, y mantener una presencia persistente en las redes. Esta última táctica permitiría a Beijing influir en las operaciones durante un posible conflicto en el Mar de China Meridional.
Australia no se vio directamente afectada por Volt Typhoon, según declaraciones oficiales. No obstante, sería uno de los principales objetivos de operaciones similares en caso de conflicto.
No se ha revelado cómo fue capturado Volt Typhoon. Pero los documentos de Microsoft destacan observaciones previas del actor de la amenaza intentando volcar credenciales y datos robados de la organización víctima. Es probable que esto condujera al descubrimiento de redes y dispositivos comprometidos.
Vivir fuera de la red
Los hackers accedieron inicialmente a las redes a través de dispositivos Fortinet FortiGuard orientados a Internet, como los routers. Una vez dentro, emplearon una técnica denominada “vivir fuera de la red”.
Esto es cuando los atacantes se basan en el uso de los recursos ya contenidos en el sistema explotado, en lugar de traer herramientas externas. Por ejemplo, suelen utilizar aplicaciones como PowerShell (un programa de gestión de Microsoft) y Windows Management Instrumentation para acceder a datos y funciones de red.
Al utilizar recursos internos, los atacantes pueden eludir las protecciones que alertan a las organizaciones de accesos no autorizados a sus redes. Como no utilizan software malicioso, parecen usuarios legítimos. Como tal, vivir fuera de la red permite el movimiento lateral dentro de la red y ofrece la oportunidad de un ataque persistente a largo plazo.
Los anuncios simultáneos de los socios de los Five Eyes apuntan a la gravedad del compromiso de Volt Typhoon. Es probable que sirva de advertencia a otras naciones de la región Asia-Pacífico.
Quiénes son los Five Eyes
Formada en 1955, la alianza de los Five Eyes es una asociación de intercambio de inteligencia integrada por Australia, Canadá, Nueva Zelanda, el Reino Unido y Estados Unidos.
La alianza se formó tras la Segunda Guerra Mundial para contrarrestar la posible influencia de la Unión Soviética. Se centra específicamente en la inteligencia de señales. Se trata de interceptar y analizar señales como las comunicaciones por radio, satélite e Internet.
Los miembros comparten información y acceso a sus respectivas agencias de inteligencia de señales, y colaboran para recopilar y analizar enormes cantidades de datos de comunicaciones globales. Una operación de los Five Eyes también puede incluir inteligencia proporcionada por países no miembros y por el sector privado.
Recientemente, los países miembros han expresado su preocupación por el control militar de facto que ejerce China sobre el Mar de China Meridional, su supresión de la democracia en Hong Kong y sus amenazas contra Taiwán. El último anuncio público de las operaciones cibernéticas de China sin duda sirve como una advertencia de que las naciones occidentales están prestando estricta atención a su infraestructura crítica - y pueden responder a la agresión digital de China.
En 2019, Australia fue blanco de actores de amenazas respaldados por el Estado chino que obtuvieron acceso no autorizado a la red informática de la Casa del Parlamento. De hecho, hay pruebas de que China está comprometida en un esfuerzo concertado para atacar las redes públicas y privadas de Australia.
La alianza de los Five Eyes bien puede ser uno de los únicos elementos de disuasión contra los ataques persistentes a largo plazo contra infraestructuras críticas.
*Artículo publicado originalmente por The Conversation- Dennis B. Desmond es Profesor de la Universidad de Sunshine Coast e Investigador sobre Ciberinteligencia y Ciberdelincuencia.
Seguir leyendo:
Últimas Noticias
La Inteligencia del Reino Unido informó que Rusia lanzó 5.400 ataques aéreos contra Ucrania en el último mes
Un informe del Ministerio de Defensa británico señaló que la mayoría de las ofensivas se realizaron con aviones no tripulados, lo que evidencia una estrategia de desgaste contra las defensas ucranianas
Friedrich Merz afirmó que el apoyo a Israel es “el núcleo esencial” de la política alemana
La postura exterior germana fue reiterada durante una reunión en Jerusalén con el presidente israelí Isaac Herzog, donde se destacó la importancia de mantener la cooperación bilateral
Bogdan Zawadewicz, analista geopolítico del Banco Polaco de Desarrollo: “Ucrania es el último capítulo del colapso de la Unión Soviética”
El experto explica la ambiciosa estrategia de la UE para acelerar la integración de Kiev y transformar su modelo económico. “Esta guerra, aunque es una catástrofe y una tragedia, también tiene un impacto transformador positivo”, afirma en una entrevista con Infobae
Japón denunció una maniobra hostil de cazas chinos cerca de Okinawa y anunció que responderá con “determinación y calma”
El incidente ocurre en un contexto de crecientes tensiones diplomáticas entre Tokio y Beijing, especialmente tras las declaraciones de la primera ministra japonesa sobre una posible intervención en Taiwán
Nuevo caso de corrupción en el régimen chino: las autoridades investigan al presidente de la mayor aseguradora de propiedades estatal
El acusado en cuestión es Yu Ze, presidente de PICC Property and Casualty
