Años de infiltración: China ha encontrado la forma de sumir a EE.UU. en la oscuridad
Hackers han creado un mapa de vulnerabilidades para provocar un apagón en ciudades estadounidenses.
El grupo Volt Typhoon permaneció en secreto durante casi un año en los sistemas de la empresa de servicios públicos Littleton Electric Light & Water Department en Massachusetts. Este ataque formó parte de una operación a gran escala que, según las autoridades estadounidenses, fue dirigida por China. El objetivo de estos ataques es prepararse con antelación para un posible conflicto y, si es necesario, causar daños a la infraestructura crítica de EE.UU.
El FBI y la CISA fueron los primeros en descubrir la infiltración en la red de la empresa. El viernes por la tarde, un gerente de Littleton Electric recibió una llamada del FBI advirtiéndole sobre la intrusión, y el lunes, agentes y expertos en ciberseguridad ya estaban en la oficina de la compañía.
Littleton Electric Light & Water Department presta servicio a las ciudades de Littleton y Boxborough y ha suministrado electricidad y agua durante más de 100 años. Sin embargo, en los últimos años, la empresa ha enfrentado una creciente amenaza de ciberataques. Tras detectarse la brecha, expertos de Dragos iniciaron una investigación y determinaron que Volt Typhoon se infiltró en la red de la organización en febrero de 2023.
Se descubrió que Volt Typhoon accedió al sistema mediante una vulnerabilidad en el firewall FortiGate 300D. Aunque Fortinet había lanzado un parche en diciembre de 2022, la empresa IT que gestionaba la red de LELWD no actualizó el firmware. Como resultado, el proveedor de servicios gestionados (MSP) responsable de la red fue despedido. Para diciembre de 2023, el gobierno federal instaló sensores en la red de LELWD y solicitó mantener abierta la vulnerabilidad para monitorear la actividad de los hackers. A pesar de los temores de un nuevo ataque, la empresa decidió cooperar con las autoridades.
Los hackers no solo se infiltraron en los sistemas, sino que también se movieron dentro de la red y robaron datos. Sin embargo, durante el ataque no se comprometieron datos personales de clientes. Como respuesta, la empresa rediseñó su arquitectura de red para eliminar posibles vulnerabilidades que los atacantes pudieran explotar.
El objetivo de Volt Typhoon no era solo mantenerse dentro del sistema a largo plazo, sino recopilar información sobre el funcionamiento de la automatización industrial. En particular, obtuvieron datos sobre procedimientos operativos y la topografía de las redes eléctricas. Esta información podría ser crucial en un ataque destinado no solo a interrumpir el servicio, sino a causar daños físicos a la infraestructura.
Un representante de la empresa aún desconoce por qué Volt Typhoon eligió específicamente a LELWD. Es posible que haya sido parte de una operación de reconocimiento a gran escala. "Nuestras subestaciones y sistemas de ingeniería no fueron comprometidos, pero los hackers sabían dónde estaban los firewalls vulnerables e intentaron sortearlos", comentó el portavoz. Para LELWD, este incidente ha sido una lección seria en ciberseguridad.
A pesar de las medidas tomadas, algunos detalles del ataque siguen siendo clasificados debido a la investigación en curso por parte de las autoridades estadounidenses. Mientras tanto, China niega cualquier implicación en la operación Volt Typhoon, aunque CISA y el FBI han advertido en repetidas ocasiones que los hackers están tratando de establecerse en las redes IT de la infraestructura crítica de EE.UU. para futuras ofensivas.