Los hackers patrocinados por el estado con sede en China han estado trabajando para comprometer la infraestructura crítica en los Estados Unidos, dijo Microsoft el miércoles. Se cree que los ataques podrían conducir a la interrupción de importantes comunicaciones entre Estados Unidos y sus intereses en Asia durante futuras crisis.
Los sitios objetivo notables incluyen Guam, una pequeña isla en el Pacífico con una importante base del ejército estadounidense que podría desempeñar un papel importante en cualquier enfrentamiento con China sobre Taiwán.
La actividad maliciosa, que se cree que está en curso, aparentemente es obra de Volt Typhoon, un grupo que ha estado activo desde 2021 y generalmente se centra en el espionaje y la recopilación de información. Microsoft se dio cuenta de la acción en febrero, alrededor del momento en que el globo espía chino fue derribado frente a la costa de Carolina del Sur, según un informe del New York Times.
Un gran número de sectores se ven afectados por los esfuerzos de Volt Typhoon e incluyen comunicaciones, fabricación, servicios públicos, transporte, construcción, marítimo, gobierno, tecnología de la información y educación. «El comportamiento observado sugiere que el actor de la amenaza tiene la intención de realizar espionaje y mantener el acceso sin ser detectado durante el mayor tiempo posible», dijo el gigante informático.
El grupo de hackers ha podido infiltrarse en organizaciones específicas utilizando una vulnerabilidad en una suite de ciberseguridad llamada FortiGuard, explicó Microsoft. Una vez que logra acceder al sistema del objetivo, obtiene las credenciales de usuario de FortiGuard y luego las usa en intentos de infiltrarse en otros sistemas.
Microsoft dijo que al igual que con cualquier actividad observada de esta naturaleza, ha notificado directamente a los clientes específicos o comprometidos y les ha proporcionado las instrucciones necesarias para asegurar sus sistemas.
Jen Easterly, directora de la agencia de defensa cibernética de Estados Unidos (CISA), dijo en un comunicado publicado el miércoles: «Durante años, China ha llevado a cabo operaciones cibernéticas agresivas para robar propiedad intelectual y datos confidenciales de organizaciones de todo el mundo».
Easterly agregó: «El aviso de hoy destaca el uso continuo de China de medios sofisticados para atacar la infraestructura crítica de nuestra nación, y brinda a los defensores de la red información importante sobre cómo detectar y mitigar esta actividad maliciosa … Alentamos a todas las organizaciones a revisar el aviso, tomar medidas para mitigar el riesgo e informar cualquier evidencia de actividad anómala. Debemos trabajar juntos para garantizar la seguridad y la resiliencia de nuestra infraestructura crítica».