VOLTZITE depende en gran medida de técnicas de subsistencia y acciones prácticas posteriores al compromiso con el objetivo de ampliar su acceso desde el perímetro de la red de TI a la red de OT. Se cree que el grupo está en funcionamiento desde al menos 2021 y se ha dirigido a entidades de infraestructura crítica en Guam, Estados Unidos y otros países, centrándose en las empresas eléctricas. El grupo también se ha dirigido a organizaciones de los campos de la investigación en ciberseguridad, la tecnología, las bases industriales de defensa, la banca, los servicios satelitales, las telecomunicaciones y la educación.
«El análisis de Dragos de las operaciones de VOLTZITE subraya la necesidad de una vigilancia continua entre las organizaciones que operan en el sector eléctrico global, ya que la actividad observada sugiere un interés continuo y específico en estas redes», dijo Dragos en su informe. «Además, las acciones de VOLTZITE que implican vigilancia prolongada y recopilación de datos se alinean con los objetivos evaluados de reconocimiento y obtención de ventajas geopolíticas de Volt Typhoon en la región de Asia y el Pacífico».
Otro grupo nuevo, GANANITE, se centra en el ciberespionaje y el robo de datos. Los objetivos del grupo han sido principalmente infraestructura crítica y organizaciones gubernamentales de Asia Central y países de la Comunidad de Estados Independientes (CEI). GANANITE es conocido por utilizar exploits de prueba de concepto disponibles públicamente para comprometer puntos finales expuestos a Internet y por el uso de varios troyanos de acceso remoto, incluidos Stink Rat, LodaRAT, WarzoneRAT y JLORAT. Este último ha sido asociado anteriormente con la actividad de un conocido grupo APT rastreado como Turla, que se cree que está asociado con el servicio de seguridad interna ruso, el FSB.
“Se ha observado que GANANITE lleva a cabo múltiples ataques contra personal clave relacionado con la gestión de operaciones de ICS en una destacada empresa europea de petróleo y gas, organizaciones ferroviarias en Turquía y Azerbaiyán, varias empresas de transporte y logística, una empresa de maquinaria automotriz y al menos una entidad gubernamental europea. supervisar los servicios públicos de agua”, dijo Dragos.
Se ha observado que el tercer grupo nuevo, LAURIONITE, explota vulnerabilidades en los servicios web Oracle E-Business Suite iSupplier pertenecientes a organizaciones de los sectores de aviación, automoción, fabricación y gobierno. Oracle E-Business Suite es una solución empresarial popular para procesos comerciales integrados que se utiliza en muchas industrias. Aún no se ha observado que LAURIONITE intente pasar a las redes OT, pero el potencial existe dados sus objetivos y el tipo de información sobre proveedores y relaciones con proveedores que las instancias de Oracle E-Business Suite iSupplier podrían contener.
El ransomware y el hacktivismo también suponen una amenaza para la tecnología operativa
Si bien los grupos de ransomware no suelen atacar directamente los activos de OT, las organizaciones industriales que tienen incidentes de ransomware en sus redes de TI podrían cerrar sus activos de OT como medida preventiva que provoque interrupciones. Según el seguimiento de Dragos, el número de incidentes de ransomware que afectaron a las organizaciones industriales aumentó un 50 % el año pasado y más del 70 % afectó a los fabricantes.