A principios de febrero, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), la Agencia de Seguridad Nacional (NSA), el FBI y otras organizaciones publicaron un aviso sobre el riesgo urgente que supone la República Popular China (RPC). En ese momento, advirtieron específicamente a las organizaciones de infraestructuras críticas sobre los actores cibernéticos patrocinados por el Estado, mencionando expresamente a Volt Typhoon, que se están posicionando para llevar a cabo ciberataques disruptivos o destructivos contra las infraestructuras críticas de EE. UU.
Según el aviso de febrero, Volt Typhoon (también conocido como Vanguard Panda, BRONZE SILHOUETTE, Dev-0391, UNC3236, Voltzite e Insidious Taurus) ya ha comprometido los entornos informáticos de organizaciones de infraestructuras críticas en los sectores de las comunicaciones, la energía, los sistemas de transporte y los sistemas de agua y aguas residuales en los Estados Unidos y sus territorios, posicionándose para permitir el movimiento lateral hacia activos de tecnología operativa (OT) con el fin de interrumpir sus funciones. En marzo, los aliados de Five Eyes emitieron otra alerta y orientaciones sobre cómo las agencias de infraestructuras críticas pueden defenderse contra estas amenazas, instando a los líderes a reconocer el riesgo cibernético como un riesgo empresarial fundamental y esencial para la seguridad nacional. Más recientemente, un senador de EE. UU. advirtió de la amenaza que supone Volt Typhoon en una carta dirigida a la CISA.
Volt Typhoon apuesta por el largo plazo
A diferencia de otros actores maliciosos, Volt Typhoon no recurre al malware para obtener y mantener el acceso a las redes. En su lugar, se valen de cuentas válidas y aplican estrictas medidas de seguridad operativa para pasar desapercibidos durante largos periodos de tiempo —en algunos casos, cinco años o más—. Al utilizar las funciones integradas de un sistema, este grupo de amenazas aplica técnicas de «living off the land» (LOTL), lo que incluye el uso de herramientas y procesos nativos en sistemas de múltiples entornos informáticos. Esto les ayuda a evadir la detección, aprovechando una investigación en profundidad sobre la organización y el entorno objetivo para adaptar sus tácticas, técnicas y procedimientos en consecuencia. Volt Typhoon también dedica recursos de forma continua para mantener la persistencia y aumentar su comprensión del entorno objetivo a lo largo del tiempo, mucho más allá del compromiso inicial.
Muchas organizaciones carecen de la capacidad para detectar e identificar actividades maliciosas, lo que dificulta la distinción entre comportamientos legítimos y maliciosos. Para protegerse contra las técnicas LOTL, las organizaciones deben adoptar un enfoque integral y multifacético en materia de ciberseguridad. Las directrices conjuntas proporcionadas por la CISA ofrecen una amplia gama de buenas prácticas de detección y refuerzo de la seguridad que pueden ayudar a las organizaciones a posicionarse para detectar y mitigar estas técnicas de forma más eficaz. Los sectores de infraestructuras críticas deben aplicar estas buenas prácticas, prestando especial atención a la mejora de la seguridad en la cadena de suministro.
Secure Supply Chain
Cada vez más, las organizaciones se enfrentan a ataques sofisticados en la cadena de suministro. Según un informe de la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA), Supply Chain de Software Supply Chain Software sigue considerándose la mayor amenaza, debido sin duda a la integración de proveedores y socios externos en la cadena de suministro. Las infraestructuras críticas están lejos de ser inmunes a esta tendencia, lo que abre posibles vías para que actores patrocinados por Estados, como Volt Typhoon, obtengan y mantengan un acceso que podría poner en riesgo a organizaciones y particulares. Para contrarrestar estas amenazas, las organizaciones deben proteger tanto las cadenas de suministro de software como las de hardware y adoptar principios de seguridad desde el diseño.
Software Supply Chain
No es ningún secreto que existen vulnerabilidades en la cadena de suministro de software, entre ellas la inserción de código malicioso y el uso de componentes de terceros vulnerables. El código malicioso puede permitir el acceso no autorizado, provocar fugas de datos y, en ocasiones, incluso dar lugar a la toma de control total del sistema. Software suelen utilizar componentes de terceros, incluido el software de código abierto, para acelerar el desarrollo y añadir nuevas funcionalidades. Lamentablemente, estos componentes pueden contener vulnerabilidades conocidas, vulnerabilidades recién descubiertas o incluso vulnerabilidades introducidas en el código base por un actor malintencionado.
Como ejemplo reciente, se informó de que el Python Package Index (PyPI) —la fuente de referencia para aplicaciones y bibliotecas de código escritas en el lenguaje de programación Python— fue objeto de un ataque por parte de usuarios que, probablemente, utilizaron medios automatizados para subir paquetes maliciosos, aprovechando los errores tipográficos de los usuarios. Emplearon una técnica denominada «typosquatting», creando nombres de paquetes similares a los más populares para infectar los dispositivos de los usuarios en el momento de la instalación. Esto pone de manifiesto la necesidad crítica de verificar las bibliotecas de código fuente en busca de dependencias y vulnerabilidades, así como de hacer frente a las amenazas de malware en medio de la rápida integración de las tecnologías de IA sin las medidas de seguridad adecuadas.
Del mismo modo, a medida que las organizaciones adoptan la contenedorización y utilizan repositorios para gestionar el código fuente y las imágenes de contenedores, los actores maliciosos disponen de una superficie de ataque cada vez mayor. Si el malware se infiltra en los repositorios de código y de contenedores, puede propagarse por toda la pila de aplicaciones de software y causar daños generalizados. Las vulnerabilidades de una sola imagen pueden afectar a múltiples aplicaciones y organizaciones.
Para hacer frente a estos retos, las organizaciones deben adoptar procesos rigurosos de revisión de código, lo que incluye el uso de una lista de materiales de software (SBOM) que proporcione un registro formal de todos los componentes utilizados en la creación del software. Esta capacidad resulta fundamental cuando se da a conocer una nueva vulnerabilidad crítica, ya que permite a las organizaciones determinar rápidamente si su código utiliza ese software, dónde se encuentra, si supone un riesgo y, en caso afirmativo, cómo subsanarlo. Una SBOM ayuda a identificar componentes de software vulnerables tanto en el software de código abierto como en el código fuente y los contenedores, reduciendo la exposición al riesgo. Esta visibilidad también ayuda a garantizar y demostrar el cumplimiento de las normas legales y reglamentarias, al facilitar una respuesta rápida ante las amenazas emergentes.
Hardware Supply Chain
Garantizar la seguridad de la cadena de suministro de hardware es tan importante como garantizar la de los componentes de software, debido a la interdependencia que existe entre ambos. Hardware también Hardware introducir vulnerabilidades, especialmente a través de activos cibernéticos transitorios, como mobile , los soportes extraíbles y los equipos de red temporales. Estos activos transitorios suelen entrar en un entorno sin ser detectados por las medidas de seguridad tradicionales. Y, dado que son fáciles de mover y modificar, son susceptibles de ser objeto de uso indebido y manipulación, convirtiéndose en vías de entrada para el malware o el acceso no autorizado a redes sensibles.
Para hacer frente a este riesgo, las organizaciones deben asegurarse de analizar y proteger dichos activos antes de conectarlos a cualquier equipo en entornos de infraestructura crítica, lo que incluye identificar el país de origen. Esto permite a las organizaciones detectar activos que contengan malware, bloquear el acceso no autorizado a los datos en función del origen, identificar ubicaciones y proveedores sujetos a restricciones, y garantizar el cumplimiento normativo en todas las regiones. Asegurarse de que el equipo utilizado proceda de fuentes fiables y seguras mitiga el riesgo de vulnerabilidades integradas que podrían ser explotadas posteriormente.
A medida que los entornos de TI y TO se interconectan cada vez más, la visibilidad de los activos conectados resulta fundamental para mejorar la seguridad y limitar las capacidades de los actores maliciosos, incluido Volt Typhoon. Conocer el país de origen, así como las versiones de firmware y software de los dispositivos, permite a las organizaciones evaluar las vulnerabilidades de forma más exhaustiva y responder a las amenazas con mayor agilidad. Las actualizaciones de firmware y software suelen corregir fallos de seguridad, lo que pone de relieve la necesidad de conocer el historial de versiones para mantener una buena higiene de seguridad. Esta información también puede ayudar a cumplir con diferentes normas y marcos regulatorios, ya que los gobiernos instan cada vez más a introducir mejoras en la cadena de suministro tecnológica.
Principios de Secure»
Hoy en día, es fundamental adoptar los principios de «seguridad desde el diseño» para combatir amenazas sofisticadas como Volt Typhoon y minimizar el riesgo para las infraestructuras críticas. El enfoque «seguro desde el diseño» significa que los productos tecnológicos se crean para proteger contra los ciberdelincuentes que intentan acceder con éxito a dispositivos, datos e infraestructuras conectadas. Según la CISA, «las agencias responsables recomiendan que los fabricantes de software incorporen principios y tácticas de seguridad desde el diseño y por defecto en sus prácticas de desarrollo de software para reforzar la postura de seguridad de sus clientes».
Volt Typhoon y otros actores similares están adoptando tácticas, técnicas y procedimientos (TTP) cada vez más sofisticados, aprovechando vulnerabilidades que podrían haberse mitigado en la fase de diseño del ciclo de vida del desarrollo de software (SDLC). Al integrar la seguridad en las arquitecturas tecnológicas y los procesos de desarrollo, los principios de «seguridad desde el diseño» permiten a las organizaciones crear sistemas que son, por naturaleza, más resistentes a las intrusiones, la manipulación y la explotación.
Proteger las infraestructuras críticas
Aunque Volt Typhoon representa una amenaza significativa en la actualidad, sería un error creer que este grupo es el único capaz de llevar a cabo el nivel de infiltración contra el que la CISA y otras entidades advierten con tanta urgencia. Las organizaciones de infraestructuras críticas deben posicionarse para detectar este tipo de intrusiones y reforzar sus entornos frente a amenazas similares. Proteger la cadena de suministro es un paso vital para mejorar la seguridad, especialmente mediante la comprensión de las complejidades de la cadena de suministro de software, el análisis completo de la SBOM y la capacidad de responder rápidamente a las vulnerabilidades emergentes. Del mismo modo, proteger la cadena de suministro de hardware garantizando la visibilidad de los activos conectados permite a las organizaciones bloquear el acceso no autorizado. Es esencial contar con una estrategia de seguridad integral basada en principios de «seguridad desde el diseño», que debe aprovechar tecnologías de confianza cero como el desarme y la reconstrucción de contenidos, las evaluaciones de vulnerabilidades, la prevención de pérdida de datos, el escaneo múltiple y otras.
Al neutralizar de forma proactiva el malware y frustrar posibles brechas de seguridad, este enfoque mitiga significativamente la amenaza del robo de credenciales y otras actividades maliciosas. Además, dar prioridad a la seguridad del software y el hardware garantiza una resiliencia inherente frente a las ciberamenazas. Proteger la cadena de suministro es una medida fundamental que las organizaciones deben adoptar para garantizar la seguridad y la protección de las infraestructuras críticas.
Descubre cómo OPSWAT ayudarte a protegerte contra las amenazas de Volt Typhoon.
