Una campaña de ciberespionaje que violó nueve agencias globales, incluida una en Estados Unidos, podría haber sido perpetrada por un grupo con vínculos con el régimen chino.
La campaña tuvo como resultado el robo de documentos confidenciales de una agencia gubernamental no identificada entre septiembre y octubre, según un informe de la Unidad 42, un equipo de inteligencia de amenazas especializado en riesgo cibernético y respuesta a incidentes en Palo Alto Networks, en asociación con el Centro de Colaboración de Ciberseguridad de la Agencia Nacional de Seguridad.
«Desde el 17 de septiembre, el actor aprovechó la infraestructura contratada en Estados Unidos para escanear cientos de organizaciones vulnerables a través de Internet», se lee en el informe. “Posteriormente, los intentos de explotación comenzaron el 22 de septiembre y probablemente continuaron hasta principios de octubre».
«Durante ese período, el actor logró comprometer al menos a nueve entidades globales en los sectores de tecnología, defensa, salud, energía y educación».
El informe afirma que no se pudo verificar la identidad de los actores detrás de la campaña, pero señala que sus tácticas y herramientas se parecían más a las de un grupo de ciberespionaje vinculado al régimen chino conocido como Emissary Panda.
Emissary Panda es conocido por muchos nombres, incluidos APT 27, Bronze Union, Iron Tiger, Lucky Mouse y TG-3390. Es uno de los numerosos grupos que se han escindido del Winnti Group, auspiciado por el estado, y es responsable de los ciberataques en América, Asia, Europa y Medio Oriente, según un informe del medio de comunicación canadiense CBC. El grupo está especializado en utilizar el ciberespionaje para recopilar datos de objetivos gubernamentales y con frecuencia se dirige a los sectores de energía, defensa y aviación.
El grupo de hackeo ha estado implicado en numerosos ataques cibernéticos desde al menos 2009 y ha aprovechado las vulnerabilidades de Microsoft Exchange tan recientemente incluso hasta a principios de noviembre, cuando utilizó el ransomware contra objetivos ubicados principalmente en Estados Unidos.
El informe afirma que la campaña escaneó más de 370 servidores con sede en EE. UU., incluidos servidores del Departamento de Defensa, en busca de vulnerabilidades. Posteriormente, aprovechó las vulnerabilidades recién descubiertas en una plataforma de gestión de contraseñas e inicio de sesión único, ManageEngine ADSelfService Plus.
Una vez aprovechadas, los actores maliciosos fueron capaces de moverse lateralmente en los sistemas relacionados, instalar una herramienta de robo de credenciales, y recopilar y extraer archivos confidenciales.
«La Unidad 42 cree que el objetivo principal del actor consistía en obtener acceso persistente a la red y recopilar y extraer documentos confidenciales de la organización afectada», se lee en el informe.
La noticia del ataque está estrechamente relacionada a una advertencia del Centro Nacional de Contrainteligencia y Seguridad de que el régimen comunista de China está involucrado en una campaña integral para adquirir tecnologías críticas y emergentes de Estados Unidos a través de medios legales, cuasi legales e ilegales. Las tecnologías de EE. UU. son fundamentales para el desarrollo de muchos de los programas de armas de China, y los grupos patrocinados por el estado en China y aquellos vinculados al ejército chino han sido acusados de robar datos a nivel mundial.
De manera similar, el exdirector de software de la Fuerza Aérea y la Fuerza Espacial de EE. UU. dijo recientemente que los agentes chinos representan una “amenaza interna» significativa para las empresas de tecnología de EE. UU.
Tales amenazas a la nación no necesariamente requieren que se ponga un pie en el territorio, como lo demostró recientemente un informe de que una operación de influencia pro-China en curso intentó previamente movilizar físicamente a los manifestantes en Estados Unidos mediante cuentas de redes sociales falsas en 70 sitios web incluidos Facebook, Twitter y YouTube.
Todavía no se han identificado públicamente las agencias que han sido violadas en la campaña.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.
