Un grupo de hackers chinos llevó a cabo ciberataques coordinados en Israel, los que afectaron a decenas de organizaciones gubernamentales y privadas del país, según un informe publicado este martes por la empresa de seguridad estadounidense FireEye.
Las instituciones gubernamentales israelíes, los proveedores de Tecnología de la Informática y las empresas de telecomunicaciones fueron el blanco del grupo en una campaña de espionaje generalizada que comenzó en enero de 2019, dijo en su informe la firma de ciberseguridad con sede en California, señalando que los hackers llevaron a cabo la recolección de datos y el reconocimiento.
FireEye, que trabajó junto a las agencias de defensa israelíes en el sondeo de los ciberataques, señaló que no tenía pruebas suficientes para vincular al grupo de espionaje chino, llamado UNC215, con el régimen comunista chino. Sin embargo, indicó que el grupo de hackers tiene como objetivo datos y organizaciones que son de «gran interés para los objetivos financieros, diplomáticos y estratégicos de Beijing».
UNC215 es una operación de espionaje china que se sospecha tiene como objetivo organizaciones de todo el mundo desde al menos 2014, señala el informe.
A principios de 2019, el grupo explotó una vulnerabilidad de SharePoint de Microsoft y utilizó herramientas de malware personalizadas, llamadas FOCUSFJORD e HYPERBRO. A continuación, los hackers robaron las credenciales de los usuarios y realizaron un reconocimiento de la red interna.
El grupo tomó medidas para engañar deliberadamente a los investigadores e intentó ocultar su nacionalidad. Para ello, utilizaron métodos como agregados en persa en las partes del código que podían ser recuperadas por los equipos de respuesta a incidentes y el uso de herramientas de malware vinculadas a grupos iraníes que se habían filtrado previamente en Internet, dijo FireEye.
«El uso de cadenas en persa, rutas de archivos que contienen /Iran/ y shells en la web asociados públicamente con grupos iraníes de APT [Advanced Persistent Threat] puede haber tenido la intención de engañar a los analistas y sugerir una atribución a Irán», dijo el informe de la compañía.
Jens Monrad, que dirige el trabajo de la división Mandiant de inteligencia de amenazas de FireEye, en la EMEA, dijo a Sky News que el intento del grupo de enmascarar su nacionalidad era «un poco inusual».
«Hemos visto históricamente algunos intentos de falsa bandera. Vimos uno durante los Juegos Olímpicos en Corea del Sur», explicó. «Puede haber varias razones por las que un actor de la amenaza quiera poner una bandera falsa; obviamente, hace que el análisis sea un poco más complejo».
El informe señaló que los ataques dirigidos se produjeron en el contexto de las inversiones multimillonarias de China relacionadas con la Iniciativa de la Franja y la Ruta (BRI por sus siglas en inglés) y su interés en el sólido sector tecnológico de Israel.
BRI es el plan de infraestructuras multimillonario del régimen chino lanzado en 2013 para expandir su influencia comercial y política por Asia, África y Europa. Los críticos argumentan que BRI ha puesto a los países en desarrollo en la «Trampa de la Deuda«.
«China ha llevado a cabo numerosas campañas de intrusión a lo largo de la ruta de la BRI para vigilar posibles obstrucciones [incluyendo] políticas, económicas y de seguridad», dijo FireEye.
La compañía indicó que espera que Beijing «continúe apuntando a los gobiernos y organizaciones involucradas en estos proyectos de infraestructura crítica».
Sanaz Yashar, quien dirigió la investigación de FireEye sobre los objetivos israelíes, dijo a Haaretz que muchas empresas israelíes están involucradas en las áreas que están en el centro de los intereses chinos, como se refleja en sus planes quinquenales.
«Su objetivo no siempre es necesariamente robar propiedad intelectual; es posible que en realidad estén buscando información comercial», dijo Yashar. «Desde el punto de vista chino, es legítimo atacar a una empresa mientras se negocia con ella, así sabrán cómo tasar el trato adecuadamente».
El informe llega apenas unas semanas después de que el presidente de Estados Unidos, Joe Biden, firmara un memorando que pretende reforzar las infraestructuras críticas de Estados Unidos contra los ciberataques.
El presidente advirtió el 27 de julio que si Estados Unidos acaba en una «auténtica guerra de disparos» con una «gran potencia», podría producirse en respuesta a un ciberataque importante.
La ciberseguridad se ha convertido en una prioridad clave para el gobierno de Biden tras una serie de ataques de gran repercusión en los últimos meses, como el de la empresa de gestión de redes SolarWinds, el de la compañía Colonial Pipeline, el de la empresa de procesamiento de carne JBS y el de la empresa de software Kaseya.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.
