Cuando los hackers chinos declararon la guerra al resto de nosotros

Andrea Daquino





A última hora de un miércoles de marzo de 2015, sonó una alarma en las oficinas de GitHub, una empresa de software con sede en San Francisco. Las oficinas de la empresa ejemplificaron el tipo de estilo entre Escandinavia y falta de alma que se ha extendido desde Silicon Valley para apoderarse de los lugares de trabajo modernos: madera expuesta, espacios abiertos y mucha luz natural. La mayoría de los empleados se estaban preparando para irse, si no lo habían hecho ya. Afuera, el sol había comenzado a ponerse y estaba suave y claro.

Las alarmas no eran poco comunes en GitHub. La empresa afirma mantener el depósito de código informático más grande del mundo. Tenía unos 14 millones de usuarios en ese momento y se enorgullece de mantener su servicio y permanecer en línea. El producto principal de GitHub es un conjunto de herramientas de edición que permite que un gran número de programadores colaboren en el software y realicen un seguimiento de los cambios a medida que se solucionan los errores. En octubre de 2018, Microsoft lo compraría por 7.500 millones de dólares.

Sin embargo, en 2015, GitHub todavía era una empresa independiente prometedora cuyo éxito provino de facilitar considerablemente a otras personas la creación de software de computadora. La primera alarma indicó que había una gran cantidad de tráfico entrante a varios proyectos almacenados en GitHub. Esto podría ser inocente, tal vez una empresa acababa de lanzar una gran actualización nueva, o algo más siniestro. Dependiendo de cómo se agrupara el tráfico, sonarían más alarmas si la afluencia repentina afectara el servicio en todo el sitio. Las alarmas sonaron. GitHub estaba siendo DDoS-ed.



Una de las causas más frecuentes de la caída de cualquier sitio web es un fuerte aumento en el tráfico. Los servidores se ven abrumados por las solicitudes, lo que hace que se bloqueen o se vuelvan lentos hasta convertirse en una rutina tortuosa. A veces esto sucede simplemente porque el sitio web se vuelve popular de repente. Otras veces, como en un ataque de denegación de servicio distribuido (DDoS), el pico está diseñado de manera maliciosa. En los últimos años, tales ataques se han vuelto más comunes: los piratas informáticos han comenzado a infectar una gran cantidad de computadoras con virus, que luego usan para tomar el control de las computadoras y alistarlas en el ataque DDoS.

Actualmente estamos experimentando el ataque DDoS más grande en la historia de GitHub, escribió el desarrollador senior Jesse Newland en una publicación de blog casi 24 horas después de que comenzara el ataque. Durante los siguientes cinco días, mientras los ingenieros pasaban 120 horas combatiendo el ataque, GitHub se cayó nueve veces. Era como una hidra: cada vez que el equipo pensaba que lo tenía bajo control, el ataque se adaptaba y redoblaba esfuerzos. GitHub no quiso comentar sobre el registro, pero un miembro del equipo que me habló de forma anónima dijo que era muy obvio que esto era algo que nunca habíamos visto antes.

En la sala de chat interna de la empresa, los ingenieros de GitHub se dieron cuenta de que abordarían el ataque durante algún tiempo. A medida que las horas se convirtieron en días, se convirtió en una especie de competencia entre los ingenieros de GitHub y quienquiera que estuviera al otro lado del ataque. Trabajando turnos largos y frenéticos, el equipo no tuvo mucho tiempo para especular sobre la identidad de los atacantes. Como abundaban los rumores en línea, GitHub solo diría: Creemos que la intención de este ataque es convencernos de que eliminemos una clase específica de contenido. A unos 20 minutos en coche, al otro lado de la bahía de San Francisco, Nicholas Weaver pensó que conocía al culpable: China.



Weaver es un experto en seguridad de redes en el Instituto Internacional de Ciencias de la Computación, un centro de investigación en Berkeley, California. Junto con otros investigadores, ayudó a identificar los objetivos del ataque: dos proyectos alojados en GitHub conectados a GreatFire.org, una organización anticensura con sede en China. Los dos proyectos permitieron a los usuarios en China visitar tanto el sitio web de GreatFire como la versión en chino del New York Times, los cuales normalmente son inaccesibles para los usuarios en China. GreatFire, apodada una organización antichina extranjera por la Administración del Ciberespacio de China, había sido durante mucho tiempo un objetivo de DDoS y ataques de piratería, razón por la cual trasladó algunos de sus servicios a GitHub, donde estaban nominalmente fuera de peligro.

China no solo estaba bloqueando bits y bytes de datos que intentaban ingresar a China, sino que también estaba canalizando el flujo de datos fuera de China.

Weaver encontró algo nuevo y preocupante cuando examinó el ataque. en un artículo en coautoría con investigadores de Citizen Lab, un activista y grupo de investigación de la Universidad de Toronto, Weaver describió una nueva arma cibernética china a la que denominó Gran Cañón. El Gran Cortafuegos, un esquema elaborado de tecnologías interrelacionadas para censurar contenido de Internet proveniente de fuera de China, ya era bien conocido. Weaver y los investigadores de Citizen Lab descubrieron que China no solo estaba bloqueando bits y bytes de datos que intentaban ingresar a China, sino que también estaba canalizando el flujo de datos fuera de China.



Quienquiera que estuviera controlando el Gran Cañón lo usaría para insertar selectivamente código JavaScript malicioso en consultas de búsqueda y anuncios publicados por Baidu, un popular motor de búsqueda chino. Ese código luego dirigió enormes cantidades de tráfico a los objetivos del cañón. Al enviar una serie de solicitudes a los servidores desde los que el Gran Cañón dirigía el tráfico, los investigadores pudieron reconstruir cómo se comportaba y obtener información sobre su funcionamiento interno. El cañón también podría usarse para otros ataques de malware además de los ataques de denegación de servicio. Era una herramienta nueva y poderosa: desplegar el Gran Cañón es un cambio importante en las tácticas y tiene un impacto muy visible, escribieron Weaver y sus coautores.

El ataque se prolongó durante días. El equipo de Citizen Lab dijo que pudieron observar sus efectos durante dos semanas después de que las alarmas de GitHub sonaran por primera vez. Posteriormente, mientras los desarrolladores de GitHub luchaban por dar sentido al ataque y elaborar una hoja de ruta para futuros incidentes, hubo confusión dentro de la comunidad de ciberseguridad. ¿Por qué China lanzó un ataque tan público, de manera tan contundente? Fue exagerado, me dijo Weaver. Mantuvieron el ataque mucho después de que dejó de funcionar.

Era un mensaje: un tiro cruzado de los arquitectos del Gran Cortafuegos, quienes, después de haber conquistado Internet en casa, ahora apuntaban cada vez más al extranjero, reacios a aceptar desafíos a su sistema de control y censura, sin importar dónde estuvieran. vino de.




El ataque a GitHub fue una rara muestra pública del poder de ataque del estado cibernético de China, que por lo general prefería ejercer sus capacidades tras bambalinas. Algunas de esas capacidades fueron descubiertas, por casualidad, en enero de 2009.

En el ático de un gran edificio antiguo de ladrillo rojo en medio del campus de la Universidad de Toronto, justo al norte del centro de la ciudad, Nart Villeneuve miraba la pantalla de su computadora con incredulidad. Villeneuve era estudiante de posgrado en la universidad e investigadora en Citizen Lab. Había estado rastreando a un sofisticado grupo de ciberespionaje que se infiltraba en computadoras, cuentas de correo electrónico y servidores en todo el mundo, espiando a sus usuarios y contenidos. Los atacantes habían diseñado cuidadosamente los llamados correos electrónicos de spear-phishing para que parecieran ser de amigos y colegas de los objetivos, convenciendo a las personas de descargar malware en sus máquinas y, sin saberlo, abrirse a la vigilancia. La campaña estaba avanzada, pero sus creadores también parecían haber hecho algo bastante estúpido.

Villeneuve tomó su teléfono y llamó a Ron Deibert, su supervisor y fundador de Citizen Lab.

Como cuenta Deibert en su libro Black Code: dentro de la batalla por el ciberespacio , Villeneuve había descubierto un servidor de comando y control para malware que se había extendido ampliamente por Internet.

Estoy dentro, susurró Villeneuve en su teléfono.

Su investigación había comenzado meses antes en Dharamsala, una ciudad india a la que el Dalai Lama había huido en 1959 y que ahora es el centro de la comunidad tibetana en el exilio. Greg Walton, un investigador de campo de Citizen Lab, había estado visitando el área durante años. A fines de la década de 1990 y principios de la de 2000, Walton ayudó a expandir el trabajo realizado por los dos pioneros de Internet tibetanos anteriores, Dan Haig y Thubten Samdup, quienes ayudaron a conectar Dharamsala a la World Wide Web en un momento en que el resto de la India apenas estaba conectado. . Walton creó sitios web para varias ONG y departamentos gubernamentales, impartió clases de computación y ayudó a las personas a configurar cuentas de correo electrónico. Mirando hacia atrás, se dio cuenta de que estaban demasiado atrapados en los beneficios de Internet y su capacidad para conectar y unir a la diáspora tibetana cada vez más dispersa, como para pensar en las desventajas. Aunque los primeros días fueron difíciles y la tecnología destartalada, Internet rápidamente se afianzó en Dharamsala. Se prestó poca atención a la seguridad.

Estas nuevas advertencias fueron mucho más efectivas y espeluznantes porque se enviaron a líderes extranjeros cuando los planes no se habían revelado públicamente.

Las desventajas de la temprana adopción de Internet por parte del Tíbet se hicieron evidentes rápidamente. El gobierno chino enviaba misivas airadas a los líderes extranjeros cuando intentaban concertar reuniones con el Dalai Lama, incluso antes de que se anunciaran los hechos. El gobierno chino se había opuesto públicamente durante mucho tiempo a cualquier compromiso con los separatistas. Pero como me dijeron personas dentro de la comunidad tibetana, estas nuevas advertencias fueron mucho más efectivas y espeluznantes porque fueron enviadas a líderes extranjeros cuando los planes no se habían revelado públicamente. El gobierno chino quería que todos los interesados ​​supieran que estaban escuchando.

Los tibetanos de la diáspora que cruzaron al territorio controlado por China fueron detenidos en la frontera e interrogados. Si intentaban negar su participación en política, sus propios correos electrónicos se presentaban como prueba. Una mujer que trabajaba en un programa de divulgación en Dharamsala que recibió fondos de Voice of America, respaldada por el gobierno de EE. UU., estaba cruzando al Tíbet desde Nepal cuando la policía china la detuvo. Se le presentaron copias impresas de sus comunicaciones privadas con personas dentro del Tíbet controlado por China. Otra mujer, una académica estadounidense que vive en Beijing, recibió una invitación para tomar el té con funcionarios de seguridad, algo casi habitual para cualquiera que se ocupe de temas delicados en China. Cuando se le preguntó por su correo electrónico, les dio a los oficiales de seguridad una cuenta ficticia que no usó para nada más; dos días después, alguien intentó piratear esa dirección.

De vuelta en Dharamsala, computadora tras computadora fue deshabilitada por malware agresivo diseñado no para espiar, sino para sabotear.

Claramente, alguien estaba apuntando a los tibetanos. Todas las señales apuntaban a China, pero la fuente de la operación no estaba clara. ¿Estaban los tibetanos siendo blanco de los servicios de seguridad, del ejército, de los llamados piratas informáticos patrióticos o de una combinación de los tres?

Trabajando junto con expertos en seguridad tibetanos, Walton comenzó a recolectar muestras de correos electrónicos incompletos y malware. Uno de esos expertos locales fue Lobsang Gyatso Sither. Sither nació en Dharamsala en 1982, parte de una generación de exiliados que nunca han vivido en el Tíbet. Estudió ciencias de la computación en la India y el Reino Unido, y había dejado atrás Dharamsala en gran medida cuando conoció a Walton en Londres a fines de la década de 2000 y aprendió sobre los ataques contra los tibetanos. Regresó con Walton al Himalaya y los dos comenzaron a trabajar con la oficina del Dalai Lama y cualquier otro objetivo obvio para contrarrestar los ataques informáticos y cibernéticos.

Al principio, los ataques eran bastante sencillos: los correos electrónicos en un inglés deficiente animaban a los usuarios a ejecutar archivos ejecutables. Solos, no habrían generado demasiada alarma, pero a medida que Walton, Sither y otros recolectaban más y más muestras, comenzaron a ver la escala de la campaña. Toda la comunidad estaba siendo atacada, aunque la mayoría habría sido de poco interés para los piratas informáticos, me dijo Sither.

Incluso las personas que no están directamente relacionadas con un objetivo clave pueden ser útiles para los piratas informáticos. Al igual que la policía procesa un caso de la mafia, los piratas informáticos pueden avanzar en la cadena, utilizando cuentas comprometidas para perseguir a los objetivos finales y sus asociados con ataques de phishing más creíbles.

Los atacantes estaban siguiendo de cerca el éxito de su operación. Cuando se lanzó una importante campaña educativa para alentar a los tibetanos a no abrir archivos adjuntos y, en su lugar, confiar en servicios basados ​​en la nube como Google Drive para compartir documentos, apareció rápidamente un nuevo malware. Se centró específicamente en los servicios recomendados por la campaña educativa.

Antes del descubrimiento del servidor de comando y control por parte de Villeneuve, el equipo solo había podido rastrear los objetivos de la campaña de malware, no a los atacantes en sí. Ahora Villeneuve podía ver exactamente lo que estaban haciendo los atacantes en las computadoras a las que accedían. El arma principal en el conjunto de herramientas de los piratas informáticos era una sola pieza de malware, originalmente desarrollada por programadores chinos y luego trasladada al inglés, llamada Gh0st Remote Administration Tool o Gh0st Rat.

A través de sus investigaciones en Dharamsala, el equipo de Citizen Lab pudo ver que el malware dirigido a los tibetanos se comunicaba con servidores ubicados en Hainan, una isla del sur de China. El ataque tuvo como objetivo a oficiales militares, legisladores, periodistas y cientos de personas más en Dharamsala, en toda la India y en otras partes de Asia, cuya actividad fue vigilada por los piratas informáticos. Es casi seguro, escribió el equipo en su informe, que los documentos se eliminan sin el conocimiento de los objetivos, se registran las pulsaciones de teclas, las cámaras web se activan silenciosamente y las entradas de audio se activan subrepticiamente. Si bien Citizen Lab no pudo decir definitivamente quién estaba detrás del ataque, el informe concluyó que lo más probable es que el estado chino haya explotado este conjunto de objetivos de alto perfil con fines militares y de inteligencia estratégica.

El informe llegó a esta conclusión porque la isla de Hainan albergaba la instalación de inteligencia de señales de Lingshui y una división del Tercer Departamento Técnico del Ejército Popular de Liberación, una contraparte china de la Agencia de Seguridad Nacional. GhostNet, como el equipo de Citizen Lab denominó el hackeo, fue uno de los primeros signos de las supuestas capacidades de hackeo del EPL. En cuestión de años, el FBI acusaría a varios oficiales militares destacados por atacar empresas e instituciones estadounidenses, tanto por espionaje industrial como militar. El EPL también fue culpado por un ataque a la Oficina de Administración de Personal (OPM), una gran agencia federal de recursos humanos, que comprometió los datos personales de hasta 18 millones de empleados federales actuales, anteriores y potenciales.

El hackeo de OPM se anunció públicamente en junio de 2015. Unos meses después, el presidente Barack Obama alojado El líder chino, Xi Jinping, en la Casa Blanca, donde los dos hombres firmaron un acuerdo bilateral en el que prometen que ninguno de los gobiernos de los países llevará a cabo ni apoyará a sabiendas el robo cibernético de propiedad intelectual, incluidos los secretos comerciales u otra información confidencial. El acuerdo fue una gran victoria diplomática para Obama cuando se acercaba al final de su segundo mandato, y las señales iniciales de progreso eran buenas, pero el escrutinio adecuado se vio socavado en gran medida por las elecciones estadounidenses de 2016 y el furor resultante por la supuesta piratería rusa del Partido Demócrata. A medida que las preocupaciones sobre piratas informáticos sombríos que socavan las instituciones estadounidenses se trasladaron de Beijing a Moscú, se prestó menos atención al papel del gobierno chino en futuros ataques.

Mientras tanto, los piratas informáticos continúan apuntando a la comunidad de exiliados tibetanos, y los de la diáspora continúan contraatacando. En aulas y salas de reuniones de Dharamsala, Sither y otros expertos en seguridad realizan talleres sobre cifrado de correo electrónico, aplicaciones de mensajería segura y otras formas de mantenerse seguro en línea. Las personas con las que Sither trabaja generalmente responden a la amenaza cibernética constante de una de dos maneras: ambivalencia o paranoia. Ambas respuestas lo frustran. Algunas personas insisten en que no tienen nada que ocultar; pero si sus cuentas se ven comprometidas, podría afectar a aquellos que tienen cosas que les gustaría ocultar al gobierno chino. Otros están tan asustados por la idea de que los espías chinos están mirando que no hacen ningún trabajo: exactamente el tipo de efecto escalofriante que esperaban los censores. Tratamos de encontrar el equilibrio entre la seguridad y no asustar demasiado a la gente, me dijo Sither. A veces es un desafío.

Muchos pensaron que Internet traería la democracia a China. En cambio, ha empoderado la vigilancia y el control del gobierno más allá de los sueños de Mao Zedong.


GitHub y tibetanos como Lobsang Sither estuvieron entre las primeras víctimas en un nuevo frente en la guerra de China en Internet, lanzado por una nueva generación de censores decididos a perseguir a los enemigos del país dondequiera que estén, utilizando cualquier medio necesario.

En diciembre, se informó que actores chinos llevaron a cabo un ataque a la cadena hotelera internacional Marriott en 2014. La violación de Marriott se anunció públicamente unos cuatro años después de que ocurriera. Es probable que aún no se hayan reconocido públicamente muchos más ataques, porque las empresas mantienen los problemas en secreto para no dañar las relaciones con China.

Marriott también se ha llevado la peor parte de otra campaña de censura china. En enero de 2018, el sitio web de Marriott fue bloqueado en China, y la empresa se vio obligada a emitir una disculpa humillante, luego de que incluyera al Tíbet y Hong Kong como países separados en un formulario. Envalentonados por su éxito al dictar términos a Marriott, los funcionarios chinos han perseguido a las aerolíneas y otras compañías por cuestiones como la identificación errónea de Taiwán.

Muchos pensaron que Internet traería la democracia a China. En cambio, ha empoderado la vigilancia y el control del gobierno más allá de los sueños de Mao Zedong. Ahora, los censores están dirigiendo su atención al resto del mundo.


Esta historia fue extraída del nuevo libro de James Griffiths. El gran cortafuegos de China: cómo construir y controlar una versión alternativa de Internet , que será publicado en marzo por Zed Books. Griffiths ha informado desde Hong Kong, China, Corea del Sur y Australia para medios como CNN International, South China Morning Post, Atlantic, Vice y Daily Beast.

esconder