211service.com
Pesadilla de ciberespionaje
En una pared frente a docenas de cubículos en la oficina del FBI en Pittsburgh, cinco tipos de Shanghái miran desde los carteles de Se busca. Wang Dong, Sun Kailiang, Wen Xinyu, Huang Zhenyu y Gu Chunhui son, según un informe federal acusación revelado el año pasado, agentes de la Unidad 61398 del Ejército Popular de Liberación de China, que hackearon las redes de empresas estadounidenses—U.S. Steel, Alcoa, Allegheny Technologies (ATI), Westinghouse, además del sindicato industrial más grande de América del Norte, United Steelworkers y la subsidiaria estadounidense de SolarWorld, un fabricante alemán de paneles solares. Durante varios años, dicen los fiscales, los agentes robaron miles de correos electrónicos sobre estrategias comerciales, documentos sobre casos de comercio desleal que algunas de las empresas estadounidenses habían presentado contra China e incluso diseños de tuberías para plantas de energía nuclear, todo supuestamente para beneficiar a las empresas chinas. .
Es el primer caso que Estados Unidos presenta contra los perpetradores de supuesto ciberespionaje patrocinado por el estado, y ha revelado fallas en la seguridad informática que las empresas rara vez reconocen en público. Aunque los atacantes aparentemente dirigieron sus actividades a través de las computadoras de personas inocentes e hicieron otros esfuerzos para enmascararse, los fiscales rastrearon las intrusiones hasta un edificio de 12 pisos en Shanghái y sacaron a la luz a agentes de inteligencia individuales. Hay pocas posibilidades de que se realicen arrestos, ya que Estados Unidos no tiene acuerdos de extradición con China, pero aparentemente el gobierno de EE. UU. espera que nombrar a los agentes reales y demostrar que es posible rastrear ataques avergonzará a China y advertirá a otras naciones. inhibir el espionaje económico futuro.
Esta historia fue parte de nuestra edición de julio de 2015
- Ver el resto del número
- Suscribir
Eso puede ser poco realista. Las compañías de seguridad dicen que tal actividad continúa, y China llama a las acusaciones puramente infundadas y absurdas. Pero hay otra lección de la acusación: ahora es poco probable que las empresas mantengan segura la información valiosa en línea. Cualesquiera que sean los pasos que están tomando, no están a la altura de las amenazas. Claramente, la situación ha empeorado, no mejorado, dice Virgil Gligor, quien codirige el centro de investigación de seguridad informática de la Universidad Carnegie Mellon, conocido como CyLab. Hicimos que el acceso a los servicios, las bases de datos y la conectividad fuera tan conveniente que también es conveniente para nuestros adversarios. Una vez que las empresas aceptan eso, dice Gligor, la respuesta más obvia es drástica: desconectarse.
fracking y piratería
Sentado en una pequeña mesa de conferencias en su oficina en el juzgado federal de Pittsburgh, David Hickton, el fiscal de los Estados Unidos para el oeste de Pensilvania, abrió un recipiente de plástico que había traído de casa y sacó y peló un huevo duro para el almuerzo. Aunque estábamos discutiendo una investigación que involucraba a jugadores globales y tecnologías opacas, la sensación hogareña de nuestra reunión era adecuada: el caso tenía muchas raíces en círculos políticos y empresariales muy unidos en Pittsburgh. Hickton me mostró una foto enmarcada en un estante. En la imagen, él y un amigo llamado John Surma están de pie junto a sus hijos, los niños vestidos con uniformes de hockey recién salidos del hielo. Ambos padres habían asistido a Penn State. Mientras Hickton ascendía en las filas de los fiscales, Surma ascendía en el mundo empresarial y se convertía en director general de U.S. Steel. Cuando Hickton se convirtió en el principal fiscal federal en el área en 2010, uno de sus desayunos para conocer y saludar fue con Surma y Leo Girard, el jefe de United Steelworkers, que representa a 1,2 millones de trabajadores actuales o jubilados en varias industrias. Les estaba pidiendo en un asunto completamente ajeno que sirvieran en un consejo de prevención del crimen juvenil, recuerda Hickton. Dijeron: '¿Podemos hablar contigo de otra cosa?'
En ese momento, el auge del fracking estadounidense estaba en pleno apogeo, con tasas de interés ultrabajas que se habían establecido para estimular la economía y que también lubricaban el negocio de extracción de gas natural y petróleo que antes eran difíciles de alcanzar. U.S. Steel tenía un floreciente negocio de venta de tubos especialmente diseñados para el proceso de extracción. Entre otras características, las tuberías no tienen costuras verticales, por lo que resistirán cuando se hundan miles de pies en la tierra y, sin embargo, se doblarán para transportar petróleo y gas sin romperse.
Debemos pagar el costo de la seguridad, que es una molestia.
Pero U.S. Steel también notó dos acontecimientos inquietantes. En primer lugar, las empresas estatales chinas exportaban lotes de tubos similares a Estados Unidos a precios bajos. Entonces, U.S. Steel presentó quejas ante el Departamento de Comercio de EE. UU. y la Comisión de Comercio Internacional de EE. UU., acusando a China de subsidiar sus industrias; los casos resultantes finalmente llevaron a sanciones contra China. En segundo lugar, tanto la empresa como el sindicato sabían que habían llegado correos electrónicos sospechosos. Pero no estaba claro quién estaba detrás de ellos o si se estaba produciendo algún daño. Hubo una conciencia general de las intrusiones, pero no de 'cuándo, dónde, cómo' y el alcance, dice Hickton.
Los correos electrónicos fueron ingeniosamente diseñados. Pretendían ser de colegas o miembros de la junta, con líneas de asunto relacionadas con agendas de reuniones o estudios de mercado, pero entregaban malware por medio de archivos adjuntos o enlaces. Por ejemplo, dice la acusación, el 8 de febrero de 2010, dos semanas antes de una resolución preliminar del Departamento de Comercio, los piratas informáticos enviaron un correo electrónico a varios empleados de U.S. Steel. Parecía ser del director ejecutivo, pero incluía un enlace a un sitio web que contenía malware. Algunos empleados hicieron clic en él y sus computadoras pronto se infectaron. El resultado: los piratas informáticos robaron los nombres de host de 1700 servidores que controlaban el acceso a las instalaciones y redes de la empresa. La acusación dice que Wang luego trató de explotar ese acceso, pero no especifica qué información quedó expuesta.
Debbie Shon, vicepresidenta comercial de U.S. Steel, me dijo que la información incluía inteligencia comercial valiosa. No eran diseños de alta tecnología, dice ella. Eran cosas igualmente importantes: las estrategias comerciales, los precios, las cantidades de producción y el momento y el contenido de cualquier queja comercial que U.S. Steel, como una de las compañías más grandes en esta área, podría estar explorando.
La acusación detalla varios ataques similares. Entre 2007 y 2013, Westinghouse estuvo negociando los detalles de un contrato con una empresa china para construir cuatro reactores nucleares. Entre 2010 y 2012, uno de los acusados presuntamente robó al menos 1,4 gigabytes de datos (aproximadamente 700 000 páginas de correo electrónico y archivos adjuntos) de las computadoras de Westinghouse. Los archivos incluían diseños de tuberías y comunicaciones en las que Westinghouse reveló preocupaciones sobre la competencia china. En ATI, los piratas supuestamente robaron las contraseñas de 7.000 empleados mientras la empresa se encontraba en una disputa comercial centrada en sus ventas a China. En Alcoa, alegan los fiscales, los piratas informáticos robaron 2.900 correos electrónicos con más de 860 archivos adjuntos cuando la empresa estaba negociando acuerdos con empresas chinas. (Alcoa, Westinghouse y ATI se negaron a comentar para esta historia). Y en 2012, después de que el sindicato de trabajadores siderúrgicos comenzara a hablar en contra de las políticas industriales chinas, Wen robó correos electrónicos que contenían discusiones entre líderes sindicales, dice la acusación.
Mientras tanto, SolarWorld había presentado casos comerciales acusando a las empresas chinas de vender paneles solares por debajo del costo, diezmando a sus rivales. Un día de 2012, sonó un teléfono en sus oficinas de Camarillo, California. Era el FBI que llamaba y decía que los agentes habían descubierto correos electrónicos robados a la empresa, dice Ben Santarris, su vocero en Estados Unidos. En una señal de cuán mala es la ciberseguridad, no había indicios de que esto estaba sucediendo hasta que recibimos la llamada telefónica, dice. Solo cuando se abrió la acusación formal en mayo de 2014, la empresa se enteró del alcance completo del presunto robo. Hubo acceso a la estrategia del caso comercial, las finanzas de la empresa, los costos, las declaraciones de pérdidas y ganancias, las hojas de ruta tecnológicas, la investigación y el desarrollo, etc., dice Santarris. Al final, la empresa ganó sus casos y obtuvo aranceles sobre las importaciones de equipos solares de China. Durante la disputa comercial, observamos controles muy estrictos sobre quién puede ver qué información, dice. En el momento en que estábamos haciendo eso, según el FBI, el ejército chino entraba por la puerta de atrás.
Llevarlo hacia abajo
El fracaso de las supuestas tecnologías de seguridad de las empresas fue asombroso. Lance Wyatt, el director de TI del sindicato de trabajadores siderúrgicos, pensó que manejaba un barco ajustado. Una auditoría de TI en 2010 no encontró deficiencias importantes. Su servidor de correo electrónico examinó todos los mensajes entrantes en busca de archivos adjuntos que contenían código ejecutable. Tenía el software antivirus más reciente. Su red verificó las direcciones IP para evitar sitios que contenían malware. Sin embargo, Wyatt y el FBI finalmente encontraron computadoras infectadas, una de ellas utilizada por el gerente de viajes del sindicato. Ninguna de esas máquinas estaba en nuestro radar como infectada o sospechosa, dice.
Según la acusación, los piratas informáticos tenían varios medios para disfrazarse. Por un lado, supuestamente enviaron correos electrónicos maliciosos a las empresas y al sindicato desde puntos de salto: computadoras intermedias, incluida una en Kansas, que estaban bajo su control. En segundo lugar, manipularon hábilmente el sistema de Internet para nombrar las direcciones de las computadoras. Los piratas informáticos configuraron nombres de dominio como arrowservice.net y purpledaily.com y programaron malware en las computadoras corporativas de las víctimas para contactarlos. Luego, los espías podían cambiar continuamente las direcciones de las computadoras a las que se conectaban los nombres de dominio. Cuando era de día en Shanghái y de noche en Pittsburgh, dice la acusación, establecían un nombre de dominio para conectarse a computadoras de punto de salto y realizar espionaje. Cuando terminaba la jornada laboral de Shanghái, los piratas configuraban la dirección para conectarse a sitios inocuos como las páginas de Yahoo.
No es una sorpresa que tales sistemas sean relativamente fáciles de cooptar para propósitos nefastos. Las ideas para hacer que Internet sea más seguro han existido durante décadas, y los laboratorios académicos y gubernamentales han producido propuestas interesantes. Sin embargo, muy pocas de estas ideas se han implementado; requieren una adopción de base amplia y posiblemente compensaciones en el rendimiento de la red. Ya no se habla de reconstruir Internet, dice Greg Shannon, científico jefe de la división CERT del Instituto de Ingeniería de Software de Carnegie Mellon.
¿Qué debe hacer una empresa? Wyatt ajustó las cosas en United Steelworkers; entre otras cosas, ahora otorga a menos empleados los llamados privilegios administrativos para sus computadoras, y busca en la red signos reveladores de comunicaciones por malware. Pero nada de esto hubiera impedido las intrusiones. Wyatt dice que podría haberlos ralentizado.
La mejor opción, entonces, podría ser sacar los datos confidenciales de Internet por completo. Esto tiene sus desventajas: si el correo electrónico no se usa con tanta libertad o si una base de datos está fuera de línea, mantenerse al día con las últimas versiones de los informes u otros datos puede llevar más tiempo. Pero como dice Gligor: Debemos pagar el costo de la seguridad, que es una molestia. Necesitamos agregar un pequeño inconveniente para que las cosas sean mucho más difíciles para el atacante remoto. La forma de hacerlo es, ¿cómo decirlo?, desconectarse de vez en cuando.
Después de todo, siguen ocurriendo más ataques como los de Pittsburgh. Esta acusación, dice Hickton, no representa el número total de piratas informáticos, el número total de víctimas o el número total de acusados.
— david talbot
