Mientras los conflictos militares causan una destrucción devastadora en el mundo físico, los gobiernos de Ucrania e Israel están lidiando con un daño cibernético cada vez mayor, causado por actores de amenazas respaldados y no estatales. En este contexto, el gobierno estadounidense está cada vez más preocupado por China y su capacidad para pasar al modo de ciberguerra activa. Durante Cyberwarcon organizado el 9 de noviembre en ArlingtonVirginia, los principales expertos gubernamentales y de la industria se reunieron para examinar los espacios complejos y multilaterales en los que surgen ciberataques y amenazas digitales conocidos y emergentes en medio de conflictos impredecibles. Lo que surge de estas discusiones es que la agresión de Rusia en el ciberespacio se está volviendo cada vez más destructiva, que el panorama de desinformación y disrupción digital en el Medio Oriente todavía es muy fluido, y que la infiltración continua y difícil por parte de ciberespías chinos podría establecer el rumbo. escenario para acciones peligrosas por venir.
Preocupaciones sobre China
Aunque se sabe que China utiliza ampliamente sus habilidades de ciberseguridad para robar propiedad intelectual y espiar, no es tranquilizador que una ley china aprobada en 2021 exija que las empresas de TI que operan en el país informen el descubrimiento de fallas explotables a una base de datos nacional de vulnerabilidades dentro de las 48 horas siguientes. descubrimiento, antes de que un parche esté disponible. Esta regulación viene con una serie de restricciones sobre lo que los investigadores de seguridad pueden decir sobre las vulnerabilidades que descubren. Este requisito probablemente conducirá a la creación de una reserva secreta de vulnerabilidades de día cero que se puede compartir con el Ministerio de Seguridad del Estado de China, que es responsable de supervisar las operaciones de piratería patrocinadas por el Estado. En Cyberwarcon, Dakota Cary, investigadora no residente en el Global China Hub del Atlantic Council, y Kristin Del Rosso, CTO de Sophos para el sector público, presentaron sus investigaciones sobre el funcionamiento y las implicaciones lo que representa esta amenaza. "Creo que algunas personas están empezando a comprender la gravedad de la situación", dijo el líder.
La acumulación de vulnerabilidades de día cero ha llevado a “un aumento en el uso chino de vulnerabilidades de día cero para penetrar infraestructuras críticas en Estados Unidos”, afirmó Morgan Adamski, director del Centro de Colaboración en Ciberseguridad (CCC) de la NSA, durante el evento. Morgan Adamski instó a la industria a trabajar con su agencia en la cuestión de China y advirtió que "la República Popular China (RPC) tiene recursos considerables". Añadiendo que, según el gobierno estadounidense, "sus recursos eran mayores que los de Estados Unidos y todos nuestros aliados juntos". "La capacidad de China para evadir la detección y ocultar sus actividades es en gran parte la razón por la que el gobierno estadounidense ha intensificado sus esfuerzos para educar a la industria sobre los peligros cibernéticos que plantea China", afirmó. "Una de nuestras principales preocupaciones es que China siga utilizando la infraestructura nacional estadounidense para ocultar sus actividades y evadir la detección del gobierno y la industria", añade. “China utiliza una gran cantidad de infraestructuras y redes clandestinas para acceder a infraestructuras críticas de Estados Unidos”. Esta intrusión es un proyecto a largo plazo. Según Morgan Adamski, “China se está posicionando previamente con la intención de infiltrarse silenciosamente en redes críticas durante un período prolongado”.
Josh Zaritsky, director de operaciones del Centro de Colaboración en Ciberseguridad de la NSA, afirmó que una de las técnicas utilizadas por China, y más precisamente por el grupo APT conocido como Volt Typhoon, para irrumpir en las redes estadounidenses, pasa por vivir fuera del territorio o explotar productos comunes. que los actores de amenazas utilizan para evitar ser detectados. "Quieren seguir negando haber hecho algo, incluso si los atrapan". Baste decir que no hay mucho que podamos hacer contra este tipo de actor que explota elementos ya presentes en el entorno”. Respecto a Volt Typhoon, "no hemos detectado ningún signo de ataque informático", añade Mark Parsons, analista principal del Threat Intelligence Center de Microsoft. “Sabemos que esa sigue siendo la impresión. No hemos visto nada parecido hasta ahora, pero es algo a lo que obviamente estamos prestando atención. Notamos que Volt Typhoon pasó mucho tiempo tratando de mantener la persistencia dentro de las redes. Son muy activos en este tema y están ahí a largo plazo”, afirmó. A pesar de la falta de ataques activos, el grupo Volt Typhoon puede estar preparándose para ofensivas destructivas. "Creemos que existe una oportunidad de destrucción o interrupción", dijo Judy Ng, analista principal del Centro de Inteligencia de Amenazas de Microsoft.
Los continuos ataques destructivos de Rusia contra Ucrania
Volt Typhoon no es el único actor respaldado por un Estado-nación que opera fuera del territorio de su patrocinador para ocultar sus actividades. Durante la ciberguerraJohn Wolfram, analista principal del equipo de Prácticas Avanzadas de Mandiant, y Mike Worley, analista principal del equipo de Amenazas Cibernéticas de Mandiant, analizaron con más detalle el informe publicado por los investigadores de ciberseguridad de la firma. en el grupo ruso Sandwormque asoció al grupo con la unidad militar 74455 del GRU ruso. Este informe explica cómo, a finales de 2022, Sandworm provocó un corte de energía en Ucrania al atacar a un operador, un corte que coincidió con ataques masivos con misiles contra infraestructuras críticas en toda Ucrania. El ataque puso de relieve la creciente madurez del arsenal tecnológico operativo ofensivo de Rusia. "Específicamente, Sandworm apuntó a un componente del sistema MicroSCADA de Hitachi Energy, que más de 10.000 subestaciones en más de 70 países utilizan para monitorear el suministro de electricidad a aproximadamente el 10% de la población mundial", explicó Mike Worley. "Realizar acciones fuera del país patrocinador es una característica clave de las operaciones de Sandworm", dijo John Wolfram. "Lo realmente interesante de cómo hacen esto es que este grupo a menudo pretende ser un servicio oficial del sistema y lo cierra a tiempo para coincidir con los servicios oficiales", añadió.
“Desde el inicio de la invasión a gran escala, el objetivo principal del adversario fue destruir sistemas, borrar datos, etc. ", dijo Víctor Zhora, jefe adjunto del Servicio Estatal de Comunicaciones Especiales y Protección de la Información de Ucrania. “Muchos ciberataques han Se han combinado con ataques físicos y breves cortes de energía en diferentes regiones, y la pregunta es si se deben a ciberataques o ataques físicos. En la guerra Hamás-Israel, Rusia ya ha comenzado a desplegar algunas de las tácticas utilizadas en Ucrania, incluido el DDoS. "Esperábamos que Rusia expandiera estas tácticas más allá de los territorios ucranianos y a otros países, y no sólo se centrara en empresas comerciales o gobiernos enemigos de nuestros aliados", dijo. añadió.
Los ciberdelincuentes asociados con Hamás tomados por sorpresa
Israel es el último país en enfrentar ataques de grupos vinculados a la guerra. Sin embargo, el contexto de su guerra con Hamás se complica por el inesperado y repentino estallido de hostilidades a principios de octubre y la participación de adversarios distintos de los actores políticos estatales. Según Yuri Rozhansky, director de investigación de Mandiant, y Ben Read, director del equipo de análisis de ciberespionaje de Mandiant Threat Intelligence, las tres principales amenazas cibernéticas en la guerra entre Hamás e Israel son la desmoralización, la desinformación y la perturbación. "La desmoralización es obviamente muy importante en las operaciones de desinformación y, en términos más generales, esta desinformación es aún más importante después del hecho, cuando la gente ha sido sorprendida por el ataque y se convierte en espionaje, como sigue siendo el caso", afirmó Ben. Leer. “La combinación de estas amenazas ha cambiado desde que Hamás inició la guerra. La comunidad de seguridad realmente se ha unido para tratar de defender las redes y proteger a todos los que están en riesgo”, añadió.
En general, los esfuerzos de los actores de amenazas palestinos, principalmente asociados con Hamás, para desmoralizar a Israel o difundir desinformación han fracasado. “Ha habido muchas acciones contra objetivos israelíes. Pero lo interesante es que la mayoría de ellos fracasaron. La gente decía que algunos sitios web estaban caídos, pero creo que la mayoría de los sitios estaban activos el 98% del tiempo”, dijo Ben Read. El pobre desempeño de los actores de amenazas pro-Hamás probablemente esté relacionado con la falta de recursos. Ben Read añade que la Franja de Gaza no funciona bien y no descarta que personas que trabajaban en actividades cibernéticas antes de la guerra hayan sido llamadas al servicio militar activo. "Estos grupos no tienen acceso a toneladas de recursos sofisticados, pero tienen tiempo, y hay muchos", dijo.
Irán fue uno de los estados nacionales que intervinieron en la guerra. "En privado, hemos observado que el Ministerio iraní de Inteligencia y Seguridad (MOIS) y el Cuerpo de la Guardia Revolucionaria Islámica (IRGC) están apuntando a organizaciones a medida que el conflicto crece", dijo Simeon Kakpovi, analista principal del Centro de Inteligencia de Amenazas de Microsoft. “Del lado de MOIS, contamos al menos nueve jugadores activos. Del lado del IRGC, hemos contado al menos siete grupos activos en el conflicto”, dijo Simeon Kakpovi. “Sin embargo, no tenemos evidencia de que los actores de amenazas iraníes estuvieran realmente preparados para estos ataques. Principalmente lo que vimos fue que los actores iraníes aprovecharon el acceso y las capacidades que ya tenían y trataron de aprovecharlos al máximo. Principalmente reaccionaron, más que actuaron”, añadió.
Otras noticias que te pueden interesar