Disclose.tv NUEVO: el ejército cibernético de China está invadiendo servicios críticos de Estados Unidos, incluida la red eléctrica, los puertos, las tuberías y los servicios de agua.
El ejército cibernético de China está invadiendo servicios críticos de EE. UU.
https://www.washingtonpost.com/technology/2023/12/11/china-hacking-hawaii-pacific-taiwan-conflict/
El ejército chino está aumentando su capacidad para alterar la infraestructura estadounidense clave, incluidos los servicios públicos de energía y agua, así como los sistemas de comunicaciones y transporte, según funcionarios estadounidenses y funcionarios de seguridad de la industria.
Los piratas informáticos afiliados al Ejército Popular de Liberación de China se han infiltrado en los sistemas informáticos de unas dos docenas de entidades críticas durante el año pasado, dijeron estos expertos.
Las intrusiones son parte de un esfuerzo más amplio para desarrollar formas de sembrar pánico y caos o enredar la logística en caso de un conflicto entre Estados Unidos y China en el Pacífico, dijeron.
Entre las víctimas se encuentran una empresa de servicios de agua en Hawái, un importante puerto de la costa oeste y al menos un oleoducto y gasoducto, dijeron al Washington Post personas familiarizadas con los incidentes. Los piratas informáticos también intentaron irrumpir en el operador de la red eléctrica de Texas, que opera independientemente de los sistemas eléctricos del resto del país.
Varias entidades fuera de Estados Unidos, incluidas empresas de servicios eléctricos, también han sido víctimas de los piratas informáticos, dijeron las personas, que hablaron bajo condición de anonimato debido a lo delicado del asunto.
Ninguna de las intrusiones afectó a los sistemas de control industrial que operan bombas, pistones o cualquier función crítica, ni causó ninguna interrupción, dijeron funcionarios estadounidenses. Pero dijeron que la atención prestada a Hawái, que alberga la Flota del Pacífico, y a al menos un puerto, así como centros logísticos, sugiere que el ejército chino quiere tener la capacidad de complicar los esfuerzos de Estados Unidos para enviar tropas y equipos a la región si estalla un conflicto. sobre Taiwán.
Estos detalles no revelados anteriormente ayudan a completar la imagen de una campaña cibernética denominada Volt Typhoon, detectada por primera vez hace aproximadamente un año por el gobierno de Estados Unidos, mientras Estados Unidos y China luchan por estabilizar una relación más antagónica ahora que en décadas. Los comandantes militares chinos se negaron durante más de un año a hablar con sus homólogos estadounidenses, incluso cuando los aviones de combate chinos interceptaron aviones espías estadounidenses en el Pacífico occidental. El presidente Biden y el presidente chino Xi Jinping acordaron apenas el mes pasado restaurar esos canales de comunicación.
“Está muy claro que los intentos chinos de comprometer la infraestructura crítica son en parte para posicionarse previamente para poder perturbar o destruir esa infraestructura crítica en caso de un conflicto, ya sea para impedir que Estados Unidos pueda proyectar poder en Asia o causar caos social dentro de Estados Unidos, afectar nuestra toma de decisiones en torno a una crisis”, dijo Brandon Wales, director ejecutivo de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional. "Ese es un cambio significativo con respecto a la actividad cibernética china de hace siete a diez años, que se centraba principalmente en el espionaje político y económico".
Morgan Adamski, director del Centro de Colaboración en Ciberseguridad de la Agencia de Seguridad Nacional, confirmó en un correo electrónico que la actividad del Volt Typhoon "parece centrarse en objetivos dentro de la región del Indo-Pacífico, incluido Hawaii".
Los piratas informáticos a menudo buscaban enmascarar sus huellas pasando sus ataques a través de dispositivos inocuos como enrutadores domésticos u oficinas antes de llegar a sus víctimas, dijeron los funcionarios. Un objetivo clave era robar las credenciales de los empleados que podrían utilizar para regresar, haciéndose pasar por usuarios normales. Pero algunos de sus métodos de entrada no han sido determinados.
Los piratas informáticos están buscando una manera de entrar y permanecer sin ser detectados, dijo Joe McReynolds, becario de estudios de seguridad de China en la Fundación Jamestown, un grupo de expertos centrado en cuestiones de seguridad. “Estás intentando construir túneles en la infraestructura de tus enemigos que luego puedes usar para atacar. Hasta entonces, usted permanece al acecho, realiza reconocimientos y descubre si puede pasar a sistemas de control industrial o a empresas u objetivos más críticos en sentido ascendente. Y un día, si recibes la orden desde arriba, pasas del reconocimiento al ataque”.
Las revelaciones al Post se basan en la evaluación anual de amenazas realizada en febrero por la Oficina del Director de Inteligencia Nacional, que advirtió que China "casi con certeza es capaz" de lanzar ciberataques que perturbarían la infraestructura crítica de Estados Unidos, incluidos los oleoductos y gasoductos y los ferrocarriles. sistemas.
"Si Beijing temiera que un conflicto importante con Estados Unidos fuera inminente, es casi seguro que consideraría emprender operaciones cibernéticas agresivas contra la infraestructura crítica y los activos militares de Estados Unidos en todo el mundo", decía la evaluación.
Algunas de las víctimas comprometidas por Volt Typhoon eran empresas y organizaciones más pequeñas de una variedad de sectores y "no necesariamente aquellas que tendrían una conexión relevante inmediata con una función crítica de la que dependen muchos estadounidenses", dijo Eric Goldstein, subdirector ejecutivo de CISA. Esto puede haber sido una “focalización oportunista... basada en dónde pueden obtener acceso”, una forma de afianzarse en una cadena de suministro con la esperanza de algún día llegar a clientes más grandes y críticos, dijo.
Los oficiales militares chinos han descrito en documentos internos cómo podrían utilizar herramientas cibernéticas o “guerra en red” en un conflicto, dijo McReynolds, que ha visto algunos de los escritos. Dijo que los estrategas militares hablan de sincronizar los ataques aéreos y con misiles con la interrupción de las redes de comando y control, la infraestructura crítica, las redes de satélites y los sistemas de logística militar.
Han hablado de la aplicación de estas herramientas en invasiones anfibias, dijo. "Estas son cosas que claramente ven como relevantes para un escenario de Taiwán", dijo, "aunque no dicen explícitamente que así es como vamos a apoderarnos de Taiwán".
Esta está lejos de ser la primera incursión de China en el pirateo de infraestructuras críticas. En 2012, una empresa canadiense, Telvent, cuyo software operaba de forma remota los principales gasoductos de América del Norte, notificó a sus clientes que un sofisticado hacker había violado sus firewalls y robado datos relacionados con los sistemas de control industrial. La firma de ciberseguridad Mandiant rastreó la violación hasta un prolífico grupo de piratería del EPL, la Unidad 61398. Cinco miembros de la unidad fueron acusados en 2014 de piratear empresas estadounidenses.
En ese momento, el gobierno de Estados Unidos no estaba seguro de si el objetivo de China era recopilar información de inteligencia o posicionarse previamente para perturbar la situación. Hoy en día, basándose en la recopilación de inteligencia y en el hecho de que las instalaciones atacadas tienen poca información de valor político o económico, los funcionarios estadounidenses dicen que está claro que la única razón para penetrar en ellas es poder llevar a cabo acciones disruptivas o destructivas más adelante.
El investigador de amenazas Jonathan Condra, de la empresa de seguridad Recorded Future, que durante el verano encontró a Volt Typhoon sondeando la red de Texas, dijo que el secreto con el que los chinos han llevado a cabo los ataques va en contra de cualquier noción de que querían que Estados Unidos conociera sus capacidades.
Los piratas informáticos "estaban haciendo esto de manera mucho más sigilosa que si estuvieran tratando de ser atrapados", dijo.
El gobierno de Estados Unidos ha buscado durante mucho tiempo mejorar la coordinación con el sector privado, propietario de la mayor parte de la infraestructura crítica del país, y con las empresas de tecnología que pueden detectar ciberamenazas. Empresas como Microsoft comparten información anónima sobre tácticas adversarias, indicadores de que un sistema ha sido comprometido y mitigaciones, dijo Goldstein de CISA. Generalmente, estas empresas no ven la presencia del pirata informático dentro de las redes de los clientes, sino que la detectan a través de comunicaciones a los servidores que el pirata informático está utilizando para dirigir el ataque, dijo.
En algunos casos, las propias víctimas solicitan asistencia al CISA. En otros, dijo Goldstein, un proveedor de software o comunicaciones alerta a CISA sobre una víctima y el gobierno debe buscar una orden judicial para obligar al proveedor a revelar la identidad de la víctima.
En mayo, Microsoft dijo que había descubierto que Volt Typhoon se infiltraba en infraestructuras críticas en Guam y otros lugares, enumerando varios sectores. Entre ellas se encontraban empresas de telecomunicaciones, según personas familiarizadas con el asunto. Los ataques fueron especialmente preocupantes, dijeron los analistas, porque Guam es el territorio estadounidense más cercano al disputado Estrecho de Taiwán.
Las intrusiones en sectores como los sistemas de agua y energía se producen cuando la administración Biden ha tratado de fortalecer la capacidad de las industrias para defenderse mediante la emisión de normas obligatorias de ciberseguridad. En el verano de 2021, la administración implementó las primeras regulaciones cibernéticas para oleoductos y gasoductos. En marzo, la Agencia de Protección Ambiental anunció el requisito de que los estados informen sobre las amenazas cibernéticas en sus auditorías del sistema público de agua. Sin embargo, poco después, tres estados demandaron a la administración, acusando de extralimitación regulatoria.
La EPA retiró la norma y pidió al Congreso que actúe sobre una regulación. Mientras tanto, la agencia debe confiar en que los estados informen voluntariamente sobre las amenazas.
En un aviso conjunto emitido en mayo, la alianza de inteligencia Five Eyes de Estados Unidos, Gran Bretaña, Canadá, Australia y Nueva Zelanda ofreció consejos sobre cómo cazar a los intrusos. Uno de los desafíos es la táctica de los piratas informáticos de evadir la detección de los cortafuegos y otras defensas mediante el uso de herramientas legítimas para que la presencia de los piratas informáticos se mezcle con la actividad normal de la red. La técnica se llama "vivir de la tierra".
"Los dos desafíos más difíciles con estas técnicas son determinar que se ha producido un compromiso y luego, una vez detectado, tener confianza en que el actor fue desalojado", dijo Adamski de la NSA, cuyo Centro de Colaboración en Ciberseguridad coordina con la industria privada.
La NSA y otras agencias recomiendan restablecimientos masivos de contraseñas y una mejor supervisión de las cuentas que tienen altos privilegios de red. También han instado a las empresas a exigir formas más seguras de autenticación multifactor, como tokens de hardware, en lugar de depender de un mensaje de texto enviado al teléfono de un usuario, que puede ser interceptado por gobiernos extranjeros.
A pesar del mayor escrutinio que surgió a raíz del aviso de mayo, los piratas informáticos persistieron y buscaron nuevos objetivos.
En agosto, según Recorded Future, los piratas informáticos intentaron realizar conexiones desde la infraestructura que había sido utilizada por Volt Typhoon a dominios o subdominios de Internet utilizados por la Comisión de Servicios Públicos de Texas y el Consejo de Confiabilidad Eléctrica de Texas, que opera la red eléctrica de ese estado. . Aunque no hay evidencia de que los intentos lograron penetrar el sistema, el esfuerzo resalta los tipos de objetivos que interesan al ejército chino. Las dos agencias de Texas se negaron a responder preguntas sobre los incidentes del Post.
El Consejo de Confiabilidad dijo que trabaja en estrecha colaboración con agencias federales y grupos industriales y que tiene sistemas redundantes y acceso controlado como parte de una "defensa en niveles".
En las semanas previas a la reunión Biden-Xi del mes pasado, los funcionarios de la NSA que hablaron en conferencias de la industria repitieron el llamado al sector privado para que compartiera información sobre los intentos de piratería. La NSA puede espiar las redes de sus adversarios en el extranjero, mientras que las empresas estadounidenses tienen visibilidad de las redes corporativas nacionales. Juntos, la industria y el gobierno pueden tener una imagen más completa de los objetivos, tácticas y motivos de los atacantes, dicen funcionarios estadounidenses.
China “tiene una reserva de vulnerabilidades estratégicas”, o fallas de seguridad no reveladas que puede utilizar en ataques sigilosos, dijo Adamski el mes pasado en la conferencia CyberWarCon en Washington. “Esta es una lucha por nuestra infraestructura crítica. Tenemos que ponérselo más difícil”.
El tema de las ciberintrusiones chinas en infraestructuras críticas estaba en una lista propuesta de temas de conversación para plantear en el encuentro de Biden con Xi, según personas familiarizadas con el asunto, pero no surgió en la reunión de cuatro horas.
No hay comentarios:
Publicar un comentario