Volt-typhoon

De CiberWiki

Volt Typhoon es un grupo estatal de ciberespionaje originario de China, reconocido por llevar a cabo operaciones de obtención de información a nivel internacional. Este grupo se distingue por su enfoque metódico y sistemático en la identificación y explotación de vulnerabilidades en dispositivos de red, específicamente routers como los Cisco RV320/325. En este contexto, Volt Typhoon ha sido responsable de comprometer una significativa cantidad de estos dispositivos a través de la explotación de vulnerabilidades previamente divulgadas. Además, el grupo demuestra su sofisticación al establecer una nueva infraestructura, emplear webshells como fy.sh para el acceso remoto y control de dispositivos comprometidos, y evidenciar una presencia activa y persistente en las redes afectadas. Sus actividades sugieren un interés estratégico en el espionaje y la recolección de información sensible.

Etapas del último evidenciamiento

1. Identificación de Vulnerabilidades:

  • Volt Typhoon selecciona y focaliza sus esfuerzos en dispositivos vulnerables, específicamente routers Cisco RV320/325, aprovechando vulnerabilidades previamente divulgadas en enero de 2019.

2. Compromiso Inicial:

  • El grupo ejecuta un ataque sistemático, logrando comprometer aproximadamente el 30% de los dispositivos identificados en un periodo de 37 días. Este paso indica una estrategia bien planificada para obtener acceso a los dispositivos seleccionados.

3. Implantación de Webshell:

  • Volt Typhoon utiliza un webshell denominado fy.sh, que se descarga y ejecuta en los dispositivos comprometidos. Este webshell sirve como un punto de acceso remoto, otorgando a los atacantes control total sobre los dispositivos afectados.

4. Establecimiento de Comunicaciones:

  • El grupo mantiene una presencia activa y persistente en los dispositivos comprometidos al establecer comunicaciones frecuentes con su infraestructura. Además, se observa una nueva infraestructura y cambios en las direcciones IP asociadas con el control y comando (C2), indicando una adaptabilidad en sus tácticas.

5. Transferencia Encubierta de Datos:

  • Existe la posibilidad de que Volt Typhoon esté utilizando una botnet compuesta por dispositivos comprometidos para la transferencia encubierta de datos. Este aspecto destaca la capacidad del grupo para utilizar la red comprometida como parte de sus operaciones de espionaje, revelando un enfoque avanzado en sus técnicas.

Rastreo e Historia

El grupo Volt Typhoon, activo desde 2021, tiene su origen en China y su motivación principal es llevar a cabo actividades de espionaje cibernético, con un enfoque específico en atacar infraestructuras críticas en Guam y otros lugares de Estados Unidos. Su ciberataque, altamente sigiloso, ha impactado diversos sectores, incluyendo comunicaciones, fabricación, servicios públicos, transporte, construcción, sector marítimo, gobierno, tecnología de la información y educación.

La motivación del grupo se centra en mantener acceso no detectado a estas infraestructuras durante el mayor tiempo posible. Utilizan técnicas avanzadas y difíciles de detectar, emitiendo comandos para recopilar datos, incluyendo credenciales de sistemas locales y de red. Posteriormente, almacenan estos datos y utilizan las credenciales robadas para llevar a cabo sus ciberataques.

Una característica notable de Volt Typhoon es su intento de ocultarse en la actividad normal de la red, enrutándose a través de dispositivos de oficinas domésticas (SOHO), como routers, firewalls y hardware de redes privadas virtuales (VPN). Este enfoque estratégico contribuye a su capacidad para eludir la detección y mantener una presencia persistente en las infraestructuras comprometidas.

Obtenido de «https://darfe.es/ciberwiki/index.php?title=Volt-typhoon&oldid=1360»