211service.com
Hackers chinos se disfrazaron de Irán para atacar a Israel
Foto AP/Ng Han Guan
Cuando los piratas informáticos irrumpieron en las computadoras del gobierno y las empresas tecnológicas de Israel en 2019 y 2020, los investigadores buscaron pistas para descubrir quién era el responsable. La primera evidencia apuntaba directamente a Irán, el rival geopolítico más polémico de Israel. Los piratas informáticos desplegaron herramientas normalmente asociadas con los iraníes, por ejemplo, y escribieron en el idioma farsi.
Pero después de un examen más profundo de la evidencia, y la información recopilada de otros casos de ciberespionaje en todo el Medio Oriente, los analistas se dieron cuenta de que no se trataba de una operación iraní. En cambio, fue realizado por agentes chinos que se hicieron pasar por un equipo de piratas informáticos de Teherán.
Los piratas informáticos atacaron con éxito al gobierno israelí, las empresas de tecnología y las empresas de telecomunicaciones, y al desplegar banderas falsas, al parecer, esperaban engañar a los analistas haciéndoles creer que los atacantes eran del némesis regional de Israel.
Nuevo investigar de la firma estadounidense de ciberseguridad FireEye, que trabaja con el ejército israelí, expone el engaño fallido y describe las técnicas que utilizaron los piratas informáticos en su esfuerzo por culpar a otros.
Historia relacionada
Hackers chinos que se hacen pasar por el Consejo de Derechos Humanos de la ONU están atacando a los uigures Los piratas informáticos de habla china están atacando a los musulmanes uigures con informes falsos de las Naciones Unidas y organizaciones de apoyo falsas, según un nuevo informe.
Muchas de sus tácticas eran intentos bastante contundentes de sugerir que eran espías iraníes, según el trabajo de investigación, como usar rutas de archivos que contenían la palabra Irán. Pero los atacantes también se esforzaron por proteger sus verdaderas identidades al minimizar la evidencia forense que dejaron en las computadoras comprometidas y al ocultar la infraestructura que usaron para ingresar a las máquinas israelíes.
Pero su estratagema para señalar con el dedo a Irán fracasó. Los piratas informáticos, a los que FireEye se refiere como UNC215, cometieron varios errores técnicos clave que volaron su tapadera y los vincularon fuertemente con su trabajo anterior. Por ejemplo, usaron archivos, infraestructura y tácticas similares en múltiples operaciones en el Medio Oriente.
Hay piezas que distinguirán al operador o a su patrocinador, dice John Hultquist, vicepresidente de inteligencia de amenazas de FireEye. Sangrarán a través de múltiples operaciones independientemente del engaño.
Además de múltiples obsequios técnicos, otra pista importante es el tipo de información o víctimas a las que se dirigieron los piratas informáticos. UNC215 ataca repetidamente el mismo tipo de objetivos en Medio Oriente y Asia, todos ellos directamente relacionados con los intereses políticos y financieros de China. Los objetivos del grupo se superponen con los de otros grupos de hackers chinos, que no siempre coinciden con los intereses de los hackers iraníes conocidos.
Puede crear un engaño significativo, pero en última instancia, debe enfocarse en lo que le interesa, dice Hultquist. Eso proporcionará información sobre quién es usted debido a sus intereses.
El único contraataque obvio a este problema es desviar a los investigadores del camino persiguiendo objetivos que no son realmente de interés. Pero eso causa sus propios problemas: aumentar el volumen de actividad aumenta enormemente las posibilidades de ser atrapado.
Las huellas dactilares dejadas por los atacantes fueron suficientes para finalmente convencer a los investigadores israelíes y estadounidenses de que el grupo chino, no Irán, era el responsable. El mismo grupo de piratería ha utilizado tácticas engañosas similares antes. De hecho, es posible que incluso haya pirateado al propio gobierno iraní en 2019, agregando una capa adicional al engaño.
Es el primer ejemplo de un ataque chino a gran escala contra Israel, y se produce a raíz de un conjunto de inversiones chinas multimillonarias en la industria tecnológica israelí. Se hicieron como parte de la Iniciativa Belt and Road de Beijing, una estrategia económica destinada a expandir rápidamente la influencia china y llegar a través de Eurasia hasta el Océano Atlántico. Estados Unidos advirtió contra las inversiones con el argumento de que serían una amenaza para la seguridad.
Desviación y atribución errónea
El engaño de UNC215 contra Israel no fue particularmente sofisticado ni exitoso, pero muestra cuán importante puede ser la atribución, y la atribución errónea, en las campañas de ciberespionaje. No solo proporciona un chivo expiatorio potencial para el ataque, sino que también brinda cobertura diplomática a los atacantes: cuando se enfrentan a pruebas de espionaje, los funcionarios chinos argumentan regularmente que es difícil o incluso imposible rastrear a los piratas informáticos. Cuando se le contactó para hacer comentarios, un portavoz de la Embajada de China en Washington DC dijo que el país 'se opone firmemente y combate todas las formas de ataques cibernéticos'.
Y el intento de desviar a los investigadores plantea una pregunta aún mayor: ¿Con qué frecuencia los intentos de bandera falsa engañan a los investigadores y las víctimas? No tan a menudo, dice Hultquist.
Lo que pasa con estos esfuerzos de engaño es que si miras el incidente a través de una abertura estrecha, puede ser muy efectivo, dice. Pero incluso si un ataque individual es exitosamente mal atribuido, Un ataque individual puede ser exitosamente mal atribuido, pero en el transcurso de muchos ataques se vuelve cada vez más difícil mantener la farsa. Ese es el caso de los piratas informáticos chinos que apuntan a Israel durante 2019 y 2020.
'Es muy difícil mantener el engaño en múltiples operaciones'.
John Hultquist, ojo de fuego
Una vez que comienzas a relacionarlo con otros incidentes, el engaño pierde su efectividad, explica Hultquist. Es muy difícil mantener el engaño en múltiples operaciones.
El intento más conocido de atribución errónea en el ciberespacio fue un ciberataque ruso contra la ceremonia de apertura de los Juegos Olímpicos de Invierno de 2018 en Corea del Sur, denominado Destructor olímpico . Los rusos intentaron dejar pistas que apuntaran a piratas informáticos norcoreanos y chinos, con evidencia contradictoria aparentemente diseñada para evitar que los investigadores pudieran llegar a una conclusión clara.
Olympic Destroyer es un ejemplo sorprendente de banderas falsas y pesadilla de atribución, Costin Raiu, director del equipo global de investigación y análisis de Kaspersky Lab, tuiteó En el momento.
Finalmente, los investigadores y los gobiernos echaron definitivamente la culpa de ese incidente al gobierno ruso, y el año pasado a los Estados Unidos. acusado seis oficiales de inteligencia rusos por el ataque.
Esos piratas informáticos de Corea del Norte que inicialmente fueron sospechosos en el ataque del Destructor Olímpico tienen ellos mismos abandonó banderas falsas durante sus propias operaciones. Pero finalmente también fueron capturados e identificados tanto por investigadores del sector privado como por el gobierno de los Estados Unidos, que acusado tres piratas informáticos norcoreanos a principios de este año.
Siempre ha habido una percepción errónea de que la atribución es más imposible de lo que es, dice Hultquist. Siempre pensamos que las banderas falsas entrarían en la conversación y arruinarían todo nuestro argumento de que la atribución es posible. Pero aún no hemos llegado. Todavía son intentos detectables de interrumpir la atribución. Todavía estamos captando esto. Todavía no han cruzado la línea.