Un grupo de ciberdelincuentes infiltró y mapeó el sistema bancario global, y en una serie de ataques robó hasta ahora U$S 81 millones del banco central de Bangladesh. Expertos creen que los ataques fueron realizados utilizando mensajes fraudulentos en una red de transferencias de dinero conectada con el sistema bancario.
Investigaciones sobre los continuos ataques siguen en marcha, y amenazas relacionadas en otros bancos se siguen descubriendo. Algunos expertos atribuyen el ataque a hackers de Corea del Norte, dado que las herramientas que utilizaron comparten similitudes con el hackeo de Sony Pictures Entertainment en noviembre de 2014.
Según un informante con conocimiento directo de los recientes ataques, de cualquier manera, el culpable detrás de los robos digitales a bancos es mucho más grande. Esta persona solicitó mantenerse anónima debido a asuntos de seguridad, y fue capaz de proveer evidencia para respaldar sus afirmaciones.
Según el informante, los hackers del Estado chino identificaron la vulnerabilidad inicial y la utilizaron para infiltrar e infectar el sistema financiero global. Cuando su contrato con el régimen chino terminó el año pasado, vendieron la vulnerabilidad a grupos de ciberdelincuencia en un mercado privado de las redes clandestinas intentando impedir ser detectados, dijo. La red clandestina es un internet alternativo que es accesible sólo por medio de la utilización de software especializado. A pesar de que la red clandestina tiene usos legítimos, los grupos criminales compran, venden y conspiran en los foros de las mismas.
El régimen chino lleva una gran red de hackers bajo el Departamento General de Personal, el Tercer Departamento de sus fuerzas armadas. Estos hackers llevan a cabo órdenes del régimen chino y a menudo realizan operaciones adicionales o aparte venden información para obtener ganancias financieras personales. La Gran Época expuso este sistema en una serie investigativa previa.
Los grupos de ciberdelincuencia que compraron la vulnerabilidad presuntamente son aquellos que llevan a cabo los ataques actuales y transferencias ilegales de dinero.
“Los chinos ya han adquirido acceso permanente a las redes financieras que tenían como objetivo y filtraron toda la información que quisieron para el contrato y su auspiciante”, dijo el informante. “Ahora tienen su vulnerabilidad, pueden continuar monetizándola así que ahora la están vendiendo a redes criminales”.
El proceso de infiltración
El código utilizado en la vulnerabilidad fue sacado de múltiples lugares, lo que puede significar también que los investigadores que sólo miran la infiltración desde la superficie pueden hacer dibujar falsas conclusiones. Él dijo que una parte del código fue desarrollado internamente por los hackers chinos, pero que también compraron algo del código de las universidades rusas.
El informante dijo que los hackers chinos tampoco vendían la vulnerabilidad a ningún grupo específico de ciberdelincuencia. “Ellos venden un banco a un grupo”, dijo, y señaló que la mayoría de los hackers que están llevando a cabo los ataques actuales son comparativamente de baja calificación. “No son codificadores”, expresó. «Sólo saben cómo lanzar paquetes y hacer uso de ellos».
El informante fue capaz de proveer datos de forenses y capturas de pantalla que respaldan las afirmaciones. También fue capaz de exponer una lista de bancos apuntados, que está creciendo, señaló, lo que incluye una larga lista de bancos y sistemas financieros que están conectados con una red social bancaria comprometida –incluidos varios en los Estados Unidos, Latinoamérica y Asia.
Los hackers del Estado chino comenzaron sus ataques en las redes del banco y ya en el 2006, según el informante, comenzaron a subir programas maliciosos a las redes del banco en 2013.
Dijo que los hackers chinos también se infiltraron en una red de transferencias de dinero dirigida por un banco mexicano radicado en Nueva York.
“Básicamente, la infraestructura de México es propiedad del mismo grupo APT”, dijo, usando APT (amenaza persistente avanzada) para referirse a los hackers estatales chinos. “Ellos están en todo por ahí”, dijo el informante, refiriéndose al nivel de acceso que los hackers del Estado chino adquirieron sobre las redes cruciales en México.
No fue sino hasta alrededor de junio de 2015 que los hackers del Estado chino vendieron la vulnerabilidad a las organizaciones de ciberdelincuencia, y estas inmediatamente la utilizaron para comenzar a mapear, testear e infectar bancos y sistemas financieros.
El informante dijo que los hackers explotaron una vulnerabilidad en el código utilizado para construir aplicaciones web llamadas Apache Strus V2. Ya por el 2006 era vulnerable y fue parchada en 2013. También señaló que luego de lograr acceso, los hackers han atravesado numerosas redes financieras adicionales a las que están apuntando.
Mientras los hackers del Estado chino vendieron acceso a las redes bancarias, el informante notó que los hackers estuvieron mapeando e infectando el sistema bancario global en los últimos ocho años.
Cuando decidieron vender la vulnerabilidad, no perdieron su acceso a las redes. En el momento en que lo vendieron, dijo el informante, ya había servido a su propósito. En otras palabras, los hackers del Estado chino todavía tienen acceso a las redes – y no solo a algunos bancos, sino a la mayor parte del sistema bancario global.
El informante estimó que los hackers del Estado chino están vendiendo la vulnerabilidad original tanto a cambio de ganancias como así también para utilizar a una banda ciberdelincuente como distracción deliberada a sus infiltraciones de alto nivel. Siguió diciendo que esto podría representar las etapas tempranas de una crisis bancaria global.
Corrección: Una versión previa de la historia dijo que dos capturas de pantalla que muestran el código eran proezas siendo realizadas. El código exhibe los certificados de seguridad de la víctima, la red de transferencias de dinero del banco mexicano, siendo filtrados. Los hackers pueden usar el certificado para enviar comunicaciones a través de las redes de las empresas, con lo cual sus receptores lo validarían automáticamente.
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.