Muchos piratas informáticos intentan disfrazar sus ataques para que parezcan culpa de otros países, pero sus objetivos finales y técnicas siempre les acaban delatando. El último caso es el del grupo hacker chino que se hizo pasar por iraní para atacar al Gobierno de Israel y a sus empresas tecnológicas
Cuando en 2019 y 2020 un grupo hacker irrumpió en los ordenadores del Gobierno de Israel y de sus empresas tecnológicas, los investigadores buscaron pistas para descubrir quién era el responsable. La primera evidencia apuntaba directamente a Irán, el rival geopolítico más polémico de Israel. Los hackers habían usado las herramientas que típicamente asociadas con los iraníes, por ejemplo, y escribían en farsi.
Pero después de analizar detenidamente las pruebas y la información recogida de otros casos de ciberespionaje en Oriente Medio, los analistas se dieron cuenta de que no se trataba de una operación iraní. En cambio, fue realizada por hackers chinos que se hicieron pasar por un equipo de Teherán (Irán).
Atacaron con éxito al Gobierno israelí, a empresas de tecnología y de telecomunicaciones y, al parecer, usando banderas falsas, esperaban engañar a los analistas haciéndoles creer que los atacantes eran de la némesis regional de Israel.
Una nueva investigación de la empresa estadounidense de ciberseguridad FireEye, en colaboración con el ejército israelí, expone el intento de ensaño y describe las técnicas que utilizaron los hackers para intentar echar la culpa a otros.
Muchas de sus estrategias fueron intentos bastante contundentes para sugerir que eran espías iraníes, según la investigación, como por ejemplo el uso de rutas de archivos que contenían la palabra "Irán". Pero también se esforzaron por proteger sus verdaderas identidades minimizando las evidencias que dejaron en los ordenadores atacados y ocultando la infraestructura usada para acceder a las máquinas israelíes.
Sin embargo, su estrategia para señalar con el dedo a Irán fracasó. Los hackers, a quienes FireEye se refiere como UNC215, cometieron varios errores técnicos claves que los delataron y los vincularon fuertemente con su trabajo anterior. Por ejemplo, utilizaron archivos, infraestructura y tácticas similares en varias operaciones en el Medio Oriente.
"Hay detalles que distinguen al operador o a su patrocinador. Se traspasarán en distintas operaciones independientemente del intento de engañar", afirma el vicepresidente de inteligencia de amenazas en FireEye, John Hultquist.
Además de varios puntos técnicos reveladores, otra pista importante es el tipo de información o víctimas a las que atacaron los hackers. UNC215 ataca repetidamente el mismo tipo de objetivos en el Medio Oriente y Asia, todos directamente relacionados con intereses políticos y económicos de China. Los objetivos de este grupo se superponen con los de otros grupos de hackeo chinos, que no siempre coinciden con los intereses de los conocidos hackers iraníes.
"Se puede crear un buen engaño, pero en última instancia, se ataca a lo que interesa. Eso proporcionará información sobre quién es el atacante debido a sus intereses", resalta Hultquist.
La única contrapartida obvia a este problema es desviar a los investigadores de la pista al atacar a los objetivos que no son realmente de interés. Pero eso causa otros problemas: aumentar el volumen de actividad incrementa y mucho las posibilidades de acabar descubierto.
Las huellas que habían dejado los atacantes fueron suficientes para finalmente convencer a los investigadores israelíes y estadounidenses de que el responsable era el grupo chino, no Irán. El mismo grupo de hackers había utilizado antes similares tácticas engañosas. De hecho, incluso podría haber hackeado al propio Gobierno iraní en 2019, añadiendo una capa adicional al engaño.
Se trata del primer ejemplo de un ataque chino a gran escala contra Israel, y se produce a raíz de un conjunto de inversiones chinas multimillonarias en la industria tecnológica israelí, que forman parte de la Iniciativa Belt and Road de Beijing (China), la estrategia económica destinada a expandir rápidamente la influencia china y llegar a través de Eurasia hasta el Océano Atlántico. Estados Unidos advirtió contra las inversiones con el argumento de que serían una amenaza para la seguridad.
Desviación y atribución errónea
El ataque de UNC215 a Israel no fue especialmente sofisticado ni exitoso, pero muestra lo importante que puede significar la atribución —especialmente errónea — en el ciberespionaje. No solo proporciona un posible chivo expiatorio para el ataque, también brinda cobertura diplomática a los atacantes: cuando se enfrentan a las pruebas de espionaje, las autoridades chinas argumentan regularmente que es difícil o incluso imposible rastrear a los hackers. Cuando se les contactó para hacer comentarios, el portavoz de la Embajada de China en Washington (EE. UU.) respondió que el país "se oponía firmemente y combatía todas las formas de ciberataques".
El intento de desviar a los investigadores plantea una pregunta aún mayor: ¿con qué frecuencia los intentos de bandera falsa engañan a los investigadores y las víctimas? No tan a menudo, señala Hultquist.
"Lo que pasa con estos intentos de engaño es que si se observa el incidente a través de una abertura estrecha, pueden parecer muy efectivos", asegura. Pero, incluso si un ataque individual se atribuye incorrectamente, después de muchos ataques se vuelve cada vez más difícil mantener la farsa. Ese es el caso de los hackers chinos que atacaban a Israel durante 2019 y 2020.
"Resulta muy difícil mantener el engaño en múltiples operaciones", John Hultquist, FireEye.
"Al empezar a relacionarlo con otros incidentes, el engaño pierde su efectividad. Resulta muy difícil mantener el engaño en múltiples operaciones", explica Hultquist.
El intento más conocido de atribución errónea en el ciberespacio fue el ciberataque ruso contra la ceremonia de apertura de los Juegos Olímpicos de Invierno de 2018 en Corea del Sur, denominado el Destructor Olímpico. Los rusos intentaron dejar pistas que apuntaran a hackers norcoreanos y chinos, con pruebas contradictorias aparentemente diseñadas para evitar que los investigadores llegaran a una conclusión clara.
"El Destructor Olímpico es un ejemplo asombroso de banderas falsas y una pesadilla en cuanto a la atribución", tuiteó en aquel entonces el director del equipo de investigación y análisis global de Kaspersky Lab, Costin Raiu. Finalmente, los investigadores y los gobiernos culparon al Gobierno ruso del incidente, y el año pasado Estados Unidos acusó a seis oficiales de inteligencia rusos por el ataque.
Los hackers norcoreanos que al principio fueron sospechosos del ataque del Destructor Olímpico han dejado caer banderas falsas durante sus propias operaciones. Pero finalmente también fueron capturados e identificados tanto por investigadores del sector privado como por el Gobierno de Estados Unidos, que acusó a tres de esos piratas informáticos norcoreanos a principios de este año.
Hultquist concluye: "Siempre ha habido una percepción errónea de que la atribución resulta más difícil de lo que realmente es. Siempre pensamos que las banderas falsas aparecerían y arruinarían todo nuestro argumento de que la atribución es posible. Pero aún no hemos llegado ahí. Siguen siendo intentos detectables de trastocar la atribución. Todavía los conseguimos capturar. Aún no han cruzado esa línea".