Exposé de ladrones de datos chinos revela tácticas descuidadas

Un bloque de oficinas de color beige en los suburbios de Shanghai que pertenece al ejército chino se hizo mundialmente famoso el martes después de que Mandiant, una compañía de seguridad informática con sede en Washington, publicara un Informe de 60 páginas alegando que alberga a un grupo que roba habitualmente información de empresas estadounidenses. Si bien no hay pruebas directas de que el ejército chino patrocina la campaña, una cosa que el informe deja en claro es que las personas que la llevaron a cabo no eran los más hábiles de los operadores.





Gente china

Guerra electrónica: El Ejército Popular de Liberación de China está acusado de tener una unidad dedicada a robar secretos de empresas estadounidenses e incluso violar una empresa cuyo software controla la infraestructura energética.

El grupo a menudo no se molestaba en ocultar desde dónde se estaba infiltrando una red. Los investigadores de Mandiant atraparon a los atacantes iniciando sesión en cuentas de Facebook, Twitter y Gmail usando las computadoras que habían atacado, y luego robaron las contraseñas de los piratas informáticos.

El informe de Mandiant se produce una semana después de que el presidente Obama anunciara un nuevo esfuerzo para defender a los EE. UU. Contra ataques informáticos que, según dijo, se estaban utilizando para robar secretos corporativos e incluso sentar las bases para el sabotaje de la infraestructura energética (ver Obama anuncia un plan para reforzar las ciberdefensas) . Mandiant informa que el grupo que rastreó, apodado APT1, ha robado cientos de terabytes de datos comerciales confidenciales de al menos 141 empresas desde 2006, y también ha vulnerado Telvent, una empresa canadiense cuyo software se utiliza para gestionar de forma remota la infraestructura energética. Mandiant alega que APT1 es parte de la Unidad 61398 del ejército chino y está involucrado en una campaña para realizar espionaje industrial para ayudar a las empresas chinas y recopilar inteligencia que podría usarse para ataques informáticos contra la infraestructura energética de EE. UU. La mayoría de las víctimas se encontraban en Estados Unidos, pero también fueron blanco de empresas de Canadá, Reino Unido, Sudáfrica e Israel.



Mandiant, que ayuda a las empresas a responder a los ataques dirigidos y la infiltración de sus redes informáticas, basa sus afirmaciones en información de muchos casos que involucran al grupo APT1 durante los últimos seis años. En muchos casos, los empleados de Mandiant observaron de forma encubierta a los agentes de APT1 en el trabajo dentro de las computadoras de las víctimas.

Muchas tácticas descubiertas de esa manera parecen malas elecciones para un grupo cuyo trabajo depende de evitar ser detectado. Se observó que los agentes iniciaban sesión rutinariamente en las cuentas de Facebook, Twitter y Gmail utilizando las computadoras de sus víctimas.

Esas cuentas se usaron principalmente para enviar correos electrónicos falsos que se usaban para engañar a las personas para que instalaran software malicioso que se usaba para violar nuevos sistemas. Ver eso, y robar las contraseñas, proporcionó evidencia valiosa que unió los ataques realizados en diferentes empresas. Incluso permitió a Mandiant inferir la existencia de varias personas en línea distintas, que se supone representan a miembros particulares de APT1.



Mandiant explica que esta táctica arriesgada se utiliza para eludir las restricciones del sistema de censura de Internet de China, que bloquea el acceso a Facebook y muchos otros sitios occidentales. (La compañía no ha explicado por qué los expertos en seguridad informática que trabajan para el ejército en misiones encubiertas no dispondrían de formas alternativas de sortear el gran cortafuegos de China. Muchos turistas y visitantes de negocios en China utilizan servicios de VPN comerciales para evitar la censura china de Internet).

Mandiant también encontró evidencia de que un miembro del equipo de APT1 estaba usando una identidad en línea, UglyGorilla, que había usado durante años en línea. Las búsquedas en Google revelaron que el identificador se había utilizado en 2004 en una sesión de preguntas y respuestas en línea del ejército chino, preguntando ¿China tiene tropas cibernéticas?

El hecho de que el grupo APT1 a menudo hiciera pocos esfuerzos aparentes para ocultar su ubicación física constituye el principal fundamento de la afirmación de Mandiant de que el grupo era, de hecho, parte de la Unidad 61398 y se encontraba dentro de ese edificio de oficinas recientemente famoso. La compañía dice que muchas pistas apuntan hacia la Nueva Área de Pudong, un suburbio de Shanghai donde, dice Mandiant, el edificio del ejército chino es la única instalación significativa con infraestructura de comunicaciones de alta calidad.



Los atacantes a veces no se molestaban en utilizar métodos que pudieran ocultar la dirección IP, un número exclusivo de cada computadora conectada a Internet, que se usaba para acceder a los sistemas comprometidos por el grupo, afirma Mandiant. Las direcciones IP recopiladas como resultado y mediante ingeniería inversa de las herramientas de ocultación de IP cuando se utilizaron se asociaron con Shanghai y la Nueva Área de Pudong. También se encontró que los nombres de dominio web utilizados por el grupo estaban registrados en direcciones y números de teléfono en esas áreas.

Ambos tipos de pistas podrían haberse ocultado u ofuscado mejor con relativa facilidad. No se comprueba la exactitud de los datos de registro de dominio al registrar un dominio. El grupo APT1 usó herramientas que nublan la verdadera IP de origen de los datos de Internet, pero no se usaron todo el tiempo.

Muchas técnicas podrían haber hecho que las operaciones del grupo fueran más encubiertas, dice Dmitri Alperovitch, cofundador y director de tecnología de la empresa emergente de seguridad Crowdstrike, que está trabajando en nuevas formas de detectar y engañar a los atacantes como los utilizados por el grupo APT1. Alperovitch ayudó a dirigir la investigación sobre los ataques de Aurora que se originaron en China y violaron empresas estadounidenses, incluida Google (consulte Google revela los esfuerzos de espionaje chino). Sin embargo, la seguridad operativa descuidada no descarta la Unidad 61398, dice. Eso es muy común entre los actores chinos, incluidos los vinculados al EPL [Ejército Popular de Liberación], dice, probablemente porque no les importa mucho si los atrapan. Alperovitch dice que su compañía ha identificado otras unidades del ejército chino que están llevando a cabo ataques similares a los de APT1.



Los funcionarios chinos han negado que su país tenga algún vínculo con las operaciones descritas por Mandiant, sin ofrecer respuestas específicas a los puntos planteados por la empresa. Jeffrey Carr, fundador de analistas de seguridad informática Taia Global y autor del libro Dentro de Cyber ​​Warfare , cree que esas protestas pueden ser ciertas. No duda de que el ejército de China lleva a cabo ataques y vigilancia por computadora, pero cree que operaría de manera más profesional que APT1.

Sofisticado es un término muy vagamente utilizado, dice sobre el etiquetado de los ataques por parte de Mandiant. No creo que el ejército chino o sus servicios de inteligencia utilicen métodos tan obvios y sean descubiertos con tanta frecuencia, dice. Si el gobierno chino realmente estuvo detrás de todos los ataques que afirma Mandiant, son terribles en eso.

esconder