EE.UU. acusa a 4 ciudadanos chinos que trabajaban con agencia de espionaje en campaña mundial de hackeo

Cuatro ciudadanos chinos que trabajan con la principal agencia de inteligencia de China han sido acusados por se parte de una campaña mundial de hackeo para robar secretos comerciales e información sensible de empresas, universidades y organismos gubernamentales.

Los cargos se anunciaron mientras Estados Unidos y sus aliados, en un esfuerzo coordinado, condenaban el lunes al régimen chino por patrocinar ciberataques «maliciosos» contra objetivos en todo el mundo. El Ministerio de Seguridad del Estado (MSS, pos sus siglas en inglés) de China, la principal agencia de inteligencia del régimen, está detrás del despliegue de estos hackers, dijeron. Estados Unidos también atribuyó el hackeo masivo de Microsoft, revelado a principios de este año, a piratas informáticos que trabajaban para el MSS.

Los hackers acusados fueron patrocinados por el MSS y centraron su robo en información que beneficiaría significativamente a las empresas chinas, como los procesos de investigación y desarrollo, según un comunicado del Departamento de Justicia.

Los acusados y los funcionarios del Departamento de Seguridad del Estado de Hainan, un brazo provincial del MSS, trataron de ocultar el papel del régimen chino en los hackeos utilizando una compañía fantasma, según la acusación, que fue devuelta en mayo y revelada el viernes.

La campaña, activa entre 2011 y 2018, tuvo como objetivo secretos comerciales en una serie de industrias, incluyendo la aviación, la defensa, la educación, el gobierno, la atención médica, la biofarmacéutica y las industrias marítimas, dijo el Departamento de Justicia.

Las víctimas se encontraban en Austria, Camboya, Canadá, Alemania, Indonesia, Malasia, Noruega, Arabia Saudí, Sudáfrica, Suiza, Reino Unido y Estados Unidos.

Los fiscales alegan que los hackers robaron información extranjera para ayudar a las empresas estatales chinas a conseguir contratos en las empresas objetivo, como un gran proyecto de un tren de alta velocidad. El grupo también tenía como objetivo institutos de investigación y universidades por la investigación de enfermedades infecciosas relacionadas con el ébola, el MERS, el VIH/SIDA, el virus de Marburgo y la tularemia, dijo el departamento.

«Estos cargos penales ponen de manifiesto una vez más que China sigue utilizando los ataques cibernéticos para robar lo que otros países fabrican, en flagrante desprecio de sus compromisos bilaterales y multilaterales», dijo la vicefiscal general de Estados Unidos, Lisa Monaco, en el comunicado.

Dijo que la acusación de dos cargos alega que Ding Xiaoyang, Cheng Qingmin y Zhu Yunmin eran funcionarios del Departamento de Seguridad del Estado de Hainan responsables de coordinar a los hackers informáticos y a los lingüistas de las compañías fantasma.

El cuarto acusado, Wu Shurong, empleado de la compañía fantasma Hainan Xiandun Technology Development Co. Ltd., «creó programas maliciosos, hackeó sistemas informáticos operados por gobiernos, empresas y universidades extranjeras, y supervisó a otros hackers de Hainan Xiandun», dijo el Departamento de Justicia.

«Actos criminales»

El lunes, el gobierno de Biden, junto con un grupo de aliados, criticó al régimen comunista por su amplia campaña mundial de piratería informática que empleó a hackers contratados.

«Estados Unidos y los países de todo el mundo exigen a la República Popular China que rinda cuentas por su patrón de comportamiento irresponsable, perturbador y desestabilizador en el ciberespacio, que supone una gran amenaza para nuestra seguridad económica y nacional», dijo el secretario de Estado estadounidense Anthony Blinken en un comunicado el 19 de julio.

El MSS, la principal agencia de inteligencia del régimen, está detrás del despliegue de estos piratas informáticos, dijeron altos funcionarios de la administración el 18 de julio. Y sus objetivos incluyen proveedores de servicios gestionados, empresas de semiconductores, corporaciones de defensa, universidades e instituciones médicas, según un aviso de ciberseguridad del gobierno estadounidense.

«Estas operaciones cibernéticas apoyan los objetivos de desarrollo económico y militar a largo plazo de China», explicaba el aviso.

El Partido Comunista Chino (PCCh) ha establecido diferentes políticas y hojas de ruta industriales con el objetivo de lograr la «modernización socialista» para 2035 y convertirse en un «líder mundial en innovación».

Algunos de los ciberataques son operaciones de ransomware, que consisten en que los actores maliciosos cifran los datos de las víctimas y los hacen inaccesibles. A continuación, los actores exigen un rescate a cambio del descifrado. Según los funcionarios, a algunas empresas privadas se les pidió que pagaran millones de dólares después de ser afectadas por las operaciones de ransomware de China.

Las nuevas revelaciones sobre el largo historial de actividades cibernéticas maliciosas de China suscitaron la condena conjunta de múltiples países, entre ellos el Reino Unido, Australia, Canadá, Japón, Nueva Zelanda y Japón, así como de la Unión Europea y la OTAN.

«Estamos dejando claro a China que mientras continúen estas actividades cibernéticas irresponsables y maliciosas, unirá a los países de todo el mundo que son víctimas para denunciarlas, promover la defensa de la red y la ciberseguridad trabajando juntos de esa manera», dijeron los funcionarios de la Administración Biden.

En respuesta a las nuevas ciberamenazas de China, los funcionarios explicaron que los países de los Cinco Ojos, Japón, la UE y la OTAN, trabajarán juntos en el intercambio de información y en la ampliación del compromiso diplomático para «fortalecer nuestra resiliencia cibernética colectiva y la cooperación en materia de seguridad». Esperan que más países se unan a la cooperación en las próximas semanas.

Es la primera vez que la OTAN condena públicamente las actividades cibernéticas de China, explicaron los funcionarios de Biden, ya que la alianza transatlántica adoptó en junio una nueva política de ciberdefensa. En ella se establece que un ciberataque contra un miembro de la OTAN se considera un ataque contra todos los miembros, y se considerarán acciones en consecuencia para responder.

Los altos funcionarios también dijeron que tenían «una gran confianza» en que el régimen chino era responsable del ciberataque contra Microsoft, diciendo que «actores cibernéticos maliciosos» afiliados al MSS explotaron las vulnerabilidades de día cero en el software Exchange Server del gigante tecnológico estadounidense, comprometiendo decenas de miles de sistemas en todo el mundo.

En marzo, Microsoft anunció que Hafnium, un grupo de piratas informáticos apoyado por el Estado que operaba desde China, era el responsable de haber hackeado su servidor de correo electrónico y calendario. Los expertos en seguridad estimaron entonces que al menos 30,000 organizaciones en Estados Unidos fueron hackeadas.

«Hemos planteado nuestra preocupación tanto por el incidente de Microsoft como por la actividad cibernética maliciosa más extensa de la RPC [República Popular China] a altos funcionarios del gobierno de la RPC, dejando claro que las acciones de la RPC amenazan la seguridad, la confianza y la estabilidad en el ciberespacio», dijeron los altos funcionarios estadounidenses.

«Estados Unidos y nuestros aliados y socios no descartan más acciones para hacer responsable a la RPC».

Beijing ha rechazado previamente las afirmaciones de Microsoft, diciendo que las empresas y los medios de comunicación no deben «hacer acusaciones infundadas».

Tácticas cibernéticas de China

El aviso de ciberseguridad esbozó las tácticas y técnicas de Beijing, y proporcionó recomendaciones sobre cómo reforzar los sistemas informáticos.

«Al exponer la actividad delictiva de la RPC con aliados y socios, estamos continuando los esfuerzos de la administración para informar y capacitar a los propietarios y operadores de sistemas para actuar en su país y en todo el mundo», dijeron los altos funcionarios estadounidenses.

Se sabe que los actores cibernéticos patrocinados por el Estado chino enmascaran su identidad a través de servidores privados virtuales, además de evadir la detección mediante el uso de routers de banda ancha para pequeñas oficinas y oficinas domésticas (SOHO).

Estos actores «escanean sistemáticamente las redes objetivo en busca de vulnerabilidades críticas y de alto nivel a los pocos días de la divulgación pública de la vulnerabilidad», según el aviso. Han tratado de aprovechar fallos en aplicaciones como los productos de Microsoft, Apache, F5 Big-IP y Pulse Secure.

En abril, la empresa de ciberseguridad FireEye, con sede en California, publicó un informe en el que afirmaba que piratas informáticos chinos habían aprovechado la red privada virtual de Pulse Secure para acceder a organismos gubernamentales y empresas de Estados Unidos y Europa. Se sospecha que los piratas informáticos trabajan para el régimen chino y tienen vínculos con APT5, uno de los grupos de amenazas persistentes de China.

Entre los diferentes productos de Microsoft atacados se encuentran Microsoft 365, Outlook Web Access y la libreta de direcciones sin conexión de Exchange.

También se sabe que estos actores llevan a cabo campañas de spear phishing —envío de correos electrónicos infectados con un enlace malicioso o archivos adjuntos— para tomar el control del dispositivo de la víctima.

El aviso ofrece varias opciones de mitigación, incluyendo el uso de un sistema de detección y prevención de intrusiones en la red, y la supervisión de los puertos y protocolos comunes para la actividad de comando y control.

Con información de Cathy He y Reuters.

Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí