Pero después de analizar detenidamente las pruebas y la información recogida de otros casos de ciberespionaje en Oriente Medio, los analistas se dieron cuenta de que no se trataba de una operación iraní. En cambio, fue realizada por hackers chinos que se hicieron pasar por un equipo de Teherán (Irán).
nAtacaron con éxito al Gobie o israelí, a empresas de tecnología y de telecomunicaciones y, al parecer, usando banderas falsas, esperaban engañar a los analistas haciéndoles creer que los atacantes eran de la némesis regional de Israel.
nUna nueva investigación de la empresa estadounidense de ciberseguridad FireEye, en colaboración con el ejército israelí, expone el intento de ensaño y describe las técnicas que utilizaron los hackers para intentar echar la culpa a otros.
nMuchas de sus estrategias fueron intentos bastante contundentes para sugerir que eran espías iraníes, según la investigación, como por ejemplo el uso de rutas de archivos que contenían la palabra "Irán". Pero también se esforzaron por proteger sus verdaderas identidades minimizando las evidencias que dejaron en los ordenadores atacados y ocultando la infraestructura usada para acceder a las máquinas israelíes.
nSin embargo, su estrategia para señalar con el dedo a Irán fracasó. Los hackers, a quienes FireEye se refiere como UNC215, cometieron varios errores técnicos claves que los delataron y los vincularon fuertemente con su trabajo anterior. Por ejemplo, utilizaron archivos, infraestructura y tácticas similares en varias operaciones en el Medio Oriente.
n"Hay detalles que distinguen al operador o a su patrocinador. Se traspasarán en distintas operaciones independientemente del intento de engañar", afirma el vicepresidente de inteligencia de amenazas en FireEye, John Hultquist.
nAdemás de varios puntos técnicos reveladores, otra pista importante es el tipo de información o víctimas a las que atacaron los hackers. UNC215 ataca repetidamente el mismo tipo de objetivos en el Medio Oriente y Asia, todos directamente relacionados con intereses políticos y económicos de China. Los objetivos de este grupo se superponen con los de otros grupos de hackeo chinos, que no siempre coinciden con los intereses de los conocidos hackers iraníes.
n"Se puede crear un buen engaño, pero en última instancia, se ataca a lo que interesa. Eso proporcionará información sobre quién es el atacante debido a sus intereses", resalta Hultquist.
nLa única contrapartida obvia a este problema es desviar a los investigadores de la pista al atacar a los objetivos que no son realmente de interés. Pero eso causa otros problemas: aumentar el volumen de actividad incrementa y mucho las posibilidades de acabar descubierto.
nLas huellas que habían dejado los atacantes fueron suficientes para finalmente convencer a los investigadores israelíes y estadounidenses de que el responsable era el grupo chino, no Irán. El mismo grupo de hackers había utilizado antes similares tácticas engañosas. De hecho, incluso podría haber hackeado al propio Gobie o iraní en 2019, añadiendo una capa adicional al engaño.
nSe trata del primer ejemplo de un ataque chino a gran escala contra Israel, y se produce a raíz de un conjunto de inversiones chinas multimillonarias en la industria tecnológica israelí, que forman parte de la Iniciativa Belt and Road de Beijing (China), la estrategia económica destinada a expandir rápidamente la influencia china y llegar a través de Eurasia hasta el Océano Atlántico. Estados Unidos advirtió contra las inversiones con el argumento de que serían una amenaza para la seguridad.
nDesviación y atribución errónea
nEl ataque de UNC215 a Israel no fue especialmente sofisticado ni exitoso, pero muestra lo importante que puede significar la atribución —especialmente errónea — en el ciberespionaje. No solo proporciona un posible chivo expiatorio para el ataque, también brinda cobertura diplomática a los atacantes: cuando se enfrentan a las pruebas de espionaje, las autoridades chinas argumentan regularmente que es difícil o incluso imposible rastrear a los hackers. Cuando se les contactó para hacer comentarios, el portavoz de la Embajada de China en Washington (EE. UU.) respondió que el país "se oponía firmemente y combatía todas las formas de ciberataques".
nEl intento de desviar a los investigadores plantea una pregunta aún mayor: ¿con qué frecuencia los intentos de bandera falsa engañan a los investigadores y las víctimas? No tan a menudo, señala Hultquist.
n"Lo que pasa con estos intentos de engaño es que si se observa el incidente a través de una abertura estrecha, pueden parecer muy efectivos", asegura. Pero, incluso si un ataque individual se atribuye incorrectamente, después de muchos ataques se vuelve cada vez más difícil mantener la farsa. Ese es el caso de los hackers chinos que atacaban a Israel durante 2019 y 2020.
nn"Resulta muy difícil mantener el engaño en múltiples operaciones", John Hultquist, FireEye.
n
"Al empezar a relacionarlo con otros incidentes, el engaño pierde su efectividad. Resulta muy difícil mantener el engaño en múltiples operaciones", explica Hultquist.
nEl intento más conocido de atribución errónea en el ciberespacio fue el ciberataque ruso contra la ceremonia de apertura de los Juegos Olímpicos de Invie o de 2018 en Corea del Sur, denominado el Destructor Olímpico. Los rusos intentaron dejar pistas que apuntaran a hackers norcoreanos y chinos, con pruebas contradictorias aparentemente diseñadas para evitar que los investigadores llegaran a una conclusión clara.
n"El Destructor Olímpico es un ejemplo asombroso de banderas falsas y una pesadilla en cuanto a la atribución", tuiteó en aquel entonces el director del equipo de investigación y análisis global de Kaspersky Lab, Costin Raiu. Finalmente, los investigadores y los gobie os culparon al Gobie o ruso del incidente, y el año pasado Estados Unidos acusó a seis oficiales de inteligencia rusos por el ataque.
nLos hackers norcoreanos que al principio fueron sospechosos del ataque del Destructor Olímpico han dejado caer banderas falsas durante sus propias operaciones. Pero finalmente también fueron capturados e identificados tanto por investigadores del sector privado como por el Gobie o de Estados Unidos, que acusó a tres de esos piratas informáticos norcoreanos a principios de este año.
nHultquist concluye: "Siempre ha habido una percepción errónea de que la atribución resulta más difícil de lo que realmente es. Siempre pensamos que las banderas falsas aparecerían y arruinarían todo nuestro argumento de que la atribución es posible. Pero aún no hemos llegado ahí. Siguen siendo intentos detectables de trastocar la atribución. Todavía los conseguimos capturar. Aún no han cruzado esa línea".
n