Un grupo de hackers respaldado por el régimen chino ha aprovechado las vulnerabilidades de los sistemas online de al menos seis gobiernos estatales de Estados Unidos para comprometer y obtener acceso a esas redes, dijo la empresa de ciberseguridad Mandiant el 8 de marzo.
El extenso informe de Mandiant presenta las conclusiones de una investigación que comenzó en la primavera de 2021, en respuesta a una violación de un grupo de hackers conocido como «APT41» en el sistema de un gobierno estatal no identificado, y continuó hasta el mes pasado.
«Nuestra investigación sobre la actividad de APT41 entre mayo de 2021 y febrero de 2022 descubrió pruebas de una campaña deliberada dirigida a los gobiernos estatales de Estados Unidos. Durante este período, APT41 logró comprometer al menos seis redes de gobiernos estatales de Estados Unidos a través de la explotación de aplicaciones web vulnerables orientadas a Internet, a menudo escritas en ASP.NET», señala el informe.
ASP.NET, desarrollado por Microsoft, es un marco web de código abierto que permite a los usuarios construir apps y servicios de Internet en la plataforma .NET. Las debilidades y vulnerabilidades de algunas versiones de ASP.NET son conocidas públicamente desde hace años. El sitio web CVE Details ha publicado incluso listas de varios fallos de diseño, como la incapacidad de gestionar un estado de vista no cifrado o la vulnerabilidad a una denegación de servicio transmitida a través de un mensaje SOAP, que podrían permitir a los hackers y otros malos actores atacar e interrumpir las apps y servicios que utilizan ASP.NET.
A pesar de estas vulnerabilidades, algunos estados de EE. UU. siguen utilizando la plataforma para los sistemas web. El informe de Mandiant no nombra los seis estados que se sabe que han sufrido violaciones por parte de APT41 durante el periodo analizado.
Según Mandiant, el motivo de los ataques es financiero, y concretamente el beneficio personal de los hackers.
El ciberespionaje por parte de APT41 no es un fenómeno nuevo, según el informe, que hace referencia al largo historial de la organización en materia de exploración y explotación masiva de vulnerabilidades. Se sabe que APT 41 ha atacado sistemas y redes informáticas y de Internet en industrias y sectores tan diversos como la banca, la defensa, la educación, la industria legal, el petróleo y el gas, el sector inmobiliario, las telecomunicaciones y los viajes.
En 2020, cinco ciudadanos chinos del grupo de hackers fueron acusados en Estados Unidos por cargos relacionados con extensas campañas de piratería informática para robar secretos comerciales e información sensible de más de 100 empresas y entidades de todo el mundo.
Lo que distingue a las violaciones detalladas en el nuevo informe es que se dirigieron deliberadamente a los gobiernos estatales de Estados Unidos.
El informe de Mandiant detalla cómo uno de los objetivos favoritos de los hackers chinos ha sido la app USAHerds, que 18 estados utilizan para hacer un seguimiento de la salud de los animales y coordinar las respuestas a cualquier brote. Tres investigaciones llevadas a cabo en 2021 permitieron descubrir que APT41 había aprovechado una vulnerabilidad de día cero en la app USAHerds para vulnerar su seguridad.
Mandiant también relata el sorprendente hallazgo de que, incluso después de que saliera a la luz una vulnerabilidad muy similar en Microsoft Exchange Server, que hacía uso de una decriptionKey y una validationKey estática, las instalaciones de USAHerds se basaban en los mismos valores de machineKey.
El nuevo informe se produce en medio de las advertencias de que el régimen chino está en camino de convertirse en una superpotencia cibernética mundial. También es el último de una serie de infracciones presuntamente atribuidas a hackers chinos patrocinados por el Estado.
Los hackers chinos son los principales sospechosos de haber orquestado el largo ciberataque anunciado el mes pasado y que tuvo como objetivo News Corp, editor del Wall Street Journal y del New York Post.
El año pasado, Estados Unidos atribuyó formalmente la violación masiva del servidor de correo electrónico de Microsoft a piratas informáticos afiliados a la principal agencia de inteligencia del régimen, el Ministerio de Seguridad del Estado. El hackeo comprometió decenas de miles de sistemas en todo el mundo.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.