España no es el único país cuyos sistemas críticos están amenazados por bandas de otras nacionalidades. Una nueva investigación denuncia la infiltración y robo de información de grupos de hackers respaldados por China en los sistemas de proveedores de internet de Estados Unidos. Se trata de varias campañas que habrían afectado a varios proveedores con millones de clientes y que tendrían, en parte, objetivos de espionaje. 

Según informa The Washington Post, esta serie de ataques preocupan pues se cree que parte de los objetivos son empleados gubernamentales y militares que trabajan de forma encubierta y grupos de interés estratégico para China. Las técnicas y recursos empleados en los ataques señalan a un grupo de piratas chinos que ya ha perpetrado importantes ataques contra EEUU en el último año, aunque no sería el único autor implicado.

Funcionarios de inteligencia estadounidenses consultados por el medio afirman que el objetivo principal era conseguir acceso a equipos en los puertos del Pacífico y otras infraestructuras. Con ello China puede perturbar la capacidad de Estados Unidos de trasladar tropas, armamento y suministros a Taiwán si estalla un conflicto armado, explican. La embajada de China en Washington ha rechazado estas acusaciones.

Sistema hackeado iStock-seamartini Omicrono

Los investigadores de Lumen Technologies, hablan de hasta tres importantes proveedores de internet afectados. Este martes, publicaron un informe sobre el caso de la empresa Versa Networks en el que atribuyen el ataque a la banda de cibercriminales, Volt Typhoon, un grupo de piratas informáticos respaldado por las autoridades de China. Esta misma banda ha sido relacionada en este último año con hackeos a infraestructuras críticas de Estados Unidos: contra sistemas clave de la isla de Guam y o infraestructuras hídricas del país.

Los ciberdelincuentes habrían aprovechado una vulnerabilidad desconocida del sistema, lo que se conoce como brecha de día cero, para atacar a través de un programa de Versa Networks e introducir un software malicioso, un shell web VersaMem. La compañía con sede en Santa Clara, California, informó a sus clientes directos de la vulnerabilidad detectada el pasado fin de semana. El lunes anunciaba el ataque a través del blog oficial de la empresa.

Por su parte, los investigadores de Lumen afirman haber localizado el malware dentro de los enrutadores de los ISP que atiende a ciertas empresas. De esta forma, interceptan y recopilan credenciales de esos clientes de Versa.

La versión inicial del shell web VersaMem se cargó por primera vez en el repositorio de VirusTotal desde Singapur a principios de junio, cinco días antes de la primera explotación identificada de los servidores de Versa Director en EEUU. Los investigadores explican que los hackers podrían haber puesto a prueba el ataque con víctimas no estadounidenses antes de apuntar a sus objetivos reales. No es la única técnica detectada en esta campaña contra varias empresas. 

Representación de internet a nivel global

La firma de seguridad Volexity, informó a principios de mes de lo que sería el hackeo de otro autor diferente a Volt Typhoon. Su técnica les permitió alterar las direcciones web del Sistema de nombres de dominio o DNS a las que los usuarios intentan acceder, siendo desviados a otro lugar, esto sirve de pruebas traseras para espiar a las víctimas. No hay pruebas que suscriban que estos ataques persiguen otro objetivo que el robo de información.