Hackers chinos piratearon empresas estadounidenses a través de una vulnerabilidad de una startup

La campaña de piratería informática patrocinada por el Estado chino conocida como Volt Typhoon está explotando un error en una startup con sede en California para hackear compañías de Internet estadounidenses e indias, según investigadores de seguridad.

Volt Typhoon ha atacado a cuatro empresas estadounidenses, incluidos proveedores de servicios de Internet, y a otra en la India a través de una vulnerabilidad en un producto de servidor de Versa Networks, según Black Lotus Labs, una unidad de Lumen Technologies Inc. Su evaluación, gran parte de la cual se publicó en una entrada de blog el martes, concluyó con “confianza moderada” que Volt Typhoon estaba detrás de las violaciones de los sistemas Versa sin parches y dijo que la explotación probablemente estaba en curso.

Versa, que fabrica software que administra configuraciones de red y ha atraído inversiones de Blackrock y Sequoia Capital, anunció el error la semana pasada y ofreció un parche y otras mitigaciones.

La revelación aumentará las preocupaciones sobre la susceptibilidad de la infraestructura crítica estadounidense a los ciberataques. Este año, Estados Unidos acusó al Volt Typhoon de infiltrarse en redes que operan servicios críticos para Estados Unidos, incluidas algunas de las instalaciones de agua, la red eléctrica y los sectores de comunicaciones del país, con el fin de causar interrupciones durante una crisis futura, como una invasión de Taiwán.

Lumen compartió sus hallazgos con Versa a fines de junio, según Lumen y la documentación de respaldo compartida con la agencia de noticias Bloomberg.

Versa, que tiene su sede en Santa Clara, California, dijo que había publicado un parche de emergencia para solucionar el problema a finales de junio, pero que recién comenzó a informar del problema a sus clientes en julio, cuando uno de ellos le notificó que había sufrido una infracción. Versa dijo que ese cliente, al que no identificó, no siguió las pautas publicadas previamente sobre cómo proteger sus sistemas a través de reglas de firewall y otras medidas.

Dan Maier, director de marketing de Versa, dijo en un correo electrónico el lunes que esas pautas de 2015 incluyen aconsejar a los clientes que cierren el acceso a Internet a un puerto específico, algo que el cliente no había seguido. Desde el año pasado, dijo, Versa ha tomado medidas propias para hacer que el sistema sea “seguro por defecto”, lo que significa que los clientes ya no estarán expuestos a ese riesgo incluso si no han seguido las pautas de la empresa.

Según la Base de Datos Nacional de Vulnerabilidades, el error tiene una clasificación de gravedad “alta”. El viernes, la Agencia de Seguridad de Infraestructura y Ciberseguridad, conocida como CISA, ordenó a las agencias federales que parchearan los productos Versa o dejaran de usarlos antes del 13 de septiembre.

La vulnerabilidad ha sido explotada en al menos un caso conocido por un sofisticado grupo de piratas informáticos, dijo Versa en una publicación de blog el lunes. La compañía no identificó al grupo y el viernes, Versa le dijo a Bloomberg que no conocía la identidad.

Microsoft nombró y presentó la campaña Volt Typhoon en mayo de 2023. Desde su descubrimiento, los funcionarios estadounidenses han instado a las empresas y servicios públicos a mejorar sus registros para ayudar a buscar y erradicar a los piratas informáticos, que utilizan vulnerabilidades para ingresar a los sistemas y luego pueden permanecer sin ser detectados durante largos períodos de tiempo.

El gobierno chino ha desestimado las acusaciones estadounidenses, afirmando que los ataques de piratería atribuidos a Volt Typhoon son obra de ciberdelincuentes.

En enero, la directora de CISA, Jen Easterly, informó al Congreso sobre la actividad cibernética maliciosa, advirtiendo que Estados Unidos ha descubierto solo la punta del iceberg en lo que respecta a las víctimas y que el objetivo de China es poder sumir a Estados Unidos en un “pánico social”.

Las agencias estadounidenses, incluida la CISA, la Agencia de Seguridad Nacional y el FBI, dijeron en febrero que la actividad de Volt Typhoon se remonta al menos a cinco años y ha tenido como objetivo sistemas de comunicaciones, energía, transporte, agua y aguas residuales.

Lumen identificó por primera vez el código malicioso en junio, según el investigador de Lumen Michael Horka. Una muestra de malware cargada desde Singapur el 7 de junio tenía las características de Volt Typhoon, afirmó en una entrevista.

Horka, un ex investigador cibernético del FBI que se unió a Lumen en 2023 después de trabajar en casos de Volt Typhoon para el gobierno federal, dijo que el código era un shell web que permitía a los piratas informáticos obtener acceso a la red de un cliente a través de credenciales legítimas y luego comportarse como si fueran usuarios de buena fe.

(Bloomberg)