.

Otros

Descubiertos unos ladrones de datos chinos con tácticas chapuceras

1

Un informe sobre el grupo chino que entró en los ordenadores de empresas estadounidenses revela que tomaron pocas precauciones contra la detección.

  • por Tom Simonite | traducido por Lía Moya (Opinno)
  • 27 Febrero, 2013

El martes de la semana pasada, un edificio de oficinas beige situado en un suburbio de Shanghái perteneciente al ejército chino logró la fama cuando Mandiant, una empresa de seguridad informática con sede en Washington (EE.UU.) presentó un informe de 60 páginas en el que afirma que el edificio alberga un grupo que roba información sobre empresas estadounidenses de manera rutinaria. Aunque no existen pruebas directas de que el ejército chino patrocine la campaña, algo que sí deja claro el informe es que quienes la llevaban a cabo no son de lo más refinado.

En muchas ocasiones el grupo ni se molestó en ocultar desde dónde se infiltraba en la red. los investigadores de Mandiant pillaron a los atacantes registrándose en cuentas de Facebook, Twitter y Gmail usando los ordenadores que habían atacado, y ellos, a su vez, robaron las contraseñas de los hackers.

El informe de Mandiant llega una semana después de que el presidente Obama anunciara un nuevo esfuerzo por defender a EE.UU. de los ataques informáticos que según él se estaban llevando a cabo sobre empresas para robar secretos industriales e incluso establecer las bases para sabotear infraestructuras energéticas. Mandiant informa de que el grupo al que siguió, denominado APT1, ha robado cientos de terabytes de información comercial delicada de al menos 141 empresas desde 2006, y también ha entrado en Telvent, una empresa canadiense cuyo software se usa para manejar infraestructuras energéticas a distancia. Mandiant afirma que el grupo APT1 forma parte de la unidad 61398 del ejército chino y está embarcado en una campaña de espionaje industrial para ayudar a las empresas chinas y reunir información que se podría usar en ataques informáticos contra infraestructura energética de Estados Unidos. La mayoría de las víctimas estaban en Estados Unidos, pero también se atacaron empresas en Canadá, Reino Unido, Sudáfrica e Israel.

Mandiant, que ayuda a las empresas a responder a ataques dirigidos contra sus redes informáticas y a infiltraciones en las mismas, basa sus afirmaciones en información de muchos casos en los que ha estado involucrado el grupo APT1 a lo largo de los últimos seis años. En muchos casos, empleados de Mandiant observaron a escondidas a operativos de APT1 en funcionamiento dentro de los ordenadores de las víctimas.

Muchas de las tácticas descubiertas de esa manera parecen pobres elecciones para un grupo que depende de que no lo detecten. Los operativos se registraban rutinariamente en cuentas de Facebook, Twitter, and Gmail usando los ordenadores de sus víctimas.

Esas cuentas se usaban principalmente para mandar correos electrónicos falsos para engañar a la gente para que instalaran software malicioso que se usaría para entrar en nuevos sistemas. Observar este comportamiento -y robar sus contraseñas- dio lugar a valiosas pruebas que relacionan los ataques hechos a distintas empresas. Los datos incluso permiten a Mandiant inferir la existencia de varias identidades diferenciadas en línea, que se supone representan a miembros concretos de APT1.

Mandiant explica que esta arriesgada táctica se usa para evitar las restricciones del sistema de censura chino, que bloquea el acceso a Facebook y a muchas otras páginas occidentales. (La empresa no ha explicado por qué a unos expertos en seguridad informática trabajando para el ejército en misiones secretas no se les proporcionaría caminos alternativos para rodear el "gran cortafuegos" chino. Muchos turistas y visitantes de negocios a China usan servicios VPN comerciales para evitar la censura china en Internet).

Mandiant también encontró pruebas de que un miembro del equipo de ATP1 estaba usando una identidad en línea -UglyGorilla- que él o ella llevaba años usando. Búsquedas de Google revelaron que el alias se había usado en 2004 en una sesión de preguntas y respuestas del ejército chino en línea en la que se preguntaba "¿Tiene China cibertropas?".

El hecho de que el grupo ATP1 hiciera pocos esfuerzos aparentes por ocultar su situación física es el mayor respaldo a la afirmación de Mandiant de que el formaba parte, de hecho, de la Unidad 61398 y estaba alojado dentro de ese famoso bloque de oficinas. La empresa afirma que muchas pistas apuntan a la zona de Pudong New Area, un suburbio de Shanghái donde, según Mandiant, el ejército chino está construyendo las únicas instalaciones significativas que cuentan con una infraestructura de comunicación de alta tecnología.

A veces los atacantes ni se molestaban en usar métodos que ocultaran las direcciones IP -un número exclusivo de cada ordenador conectado a Internet- que se usaban para acceder a los sistemas puestos en peligro por el grupo, según Mandiant. Las direcciones IP sin ocultar recogidas y las recogidas gracias a hacer ingeniería inversa sobre las IPs ocultas para hallar su origen estaban asociadas con Shanghái y Pudong New Area. Los nombres de dominios usados por el grupo también estaban registrados en direcciones y números de teléfono de esas zonas.

Ambos tipos de pistas se podrían haber ocultado u ofuscado con relativa facilidad. Los datos de registro de dominio no se comprueban al registrarlo. El grupo ATP1 sí usó herramientas para ocultar el IP auténtico donde se originan los datos de Internet, pero no en todos los casos.

Hay muchas técnicas que podrían haber ocultado mejor las operaciones del grupo, afirma Dmitri Alperovitch, cofundador y director de tecnología de la start-up de seguridad Crowdstrike, que está trabajando en nuevas formas de detectar y engañar a atacantes como los del grupo APT1. Alperovitch ayudó a dirigir la investigación sobre los ataques Aurora que se originaron en China y entraron en empresas de Estados Unidos, incluyendo a Google (ver "Google pone al descubierto unos intentos de espionaje por parte de China"). Sin embargo, afirma que una seguridad operativa descuidada no invalida a la Unidad 61398. "Es bastante frecuente en el caso de los actores chinos, incluido los que están ligados al Ejército Popular de Liberación", afirma. "Probablemente porque les importa poco que los pillen". Alperovitch explica que su empresa ha identificado a otras unidades del ejército chino que están llevando a cabo ataques parecidos a los de APT1.

Oficiales chinos han negado que su país tenga ninguna relación con las operaciones descritas por Mandiant, sin ofrecer contraargumentos específicos en contra de los puntos presentados por la empresa. Jeffrey Carr, fundador de la empresa de analistas de seguridad Taia Global y autor del libro Inside Cyber Warfare (La ciberguerra desde dentro), cree que estas negaciones pueden ser ciertas. No duda de que el ejército chino lleve a cabo ataques informáticos y vigilancia, pero cree que operarían con mayor profesionalidad que la mostrada por ATP1.

"Sofisticado es un término que se usa con mucha soltura", afirma de la etiqueta impuesta por Mandiant a los ataques. "No creo que el ejército chino o sus servicios de inteligencia usaran métodos tan evidentes y fueran descubiertos con tanta frecuencia", afirma. "Si el gobierno chino estuviera realmente detrás de todas los ataques que Mandiant le adjudica, son muy malos haciéndolo".

Otros

  1. La difícil tarea de señalar quién debe pagar por el cambio climático

    Los mayores contaminadores del mundo, en cifras.

  2. Esto es lo que está sobre la mesa en la conferencia del clima (COP29) de este año

    Las conversaciones se centran en la financiación climática, pero los resultados de las elecciones de EE UU son de gran importancia

  3. Qué va a suceder con los derechos reproductivos en EE UU tras la reelección de Trump

    Siete estados se disponen a implementar leyes que respalden el acceso al aborto, pero el futuro de los derechos reproductivos en EE UU no está claro