Nuevo grupo de hackers vinculado a China apunta a tecnologías navales y a la estrategia de “Un Cinturón, Una Ruta”

Otro grupo de hackers respaldado por China fue identificado por una empresa de ciberseguridad radicada en California.

La empresa FireEye nombró al grupo de hackers APT40 en un artículo publicado el 4 de marzo. Después de analizar las técnicas de hackeo del grupo, las ubicaciones desde donde lanzan los ataques y los objetivos del grupo, la empresa concluyó con moderada confianza que el grupo APT40 es una “operación de ciberespionaje chino patrocinada por el Estado”. Sin embargo, FireEye no vinculó al grupo de hackers con una entidad militar o de seguridad específica dentro de la estructura del régimen chino.

El APT40 lanzó múltiples ataques desde direcciones IP ubicadas en China, incluyendo una localizada en la provincia de Hainan, en el sur de China.

El grupo está operando desde al menos 2013, apuntando a “universidades dedicadas a la investigación naval” con el fin de adquirir información para apoyar el desarrollo de las capacidades navales de China, según FireEye, aunque no brindó detalles adicionales sobre qué universidades o dónde estaban ubicadas.

Pero un artículo reciente del Wall Street Journal, citando un investigación llevada a cabo por iDefense, una unidad de inteligencia de ciberseguridad de Accenture Security, identificó a la Universidad de Hawaii, la Universidad de Washington y el Instituto de Tecnología de Massachusetts entre las al menos 27 universidades de Estados Unidos, Canadá y el sudeste asiático a donde Beijing apuntó en una serie de ataques informáticos. IDefense atribuyó los ataques a Temp.periscope, que es otro nombre que los investigadores utilizan para describir a los mismos hackers de APT40.

FireEye concluyó que “el énfasis de APT40 en cuestiones marítimas y tecnología naval se sustenta en última instancia en la ambición de China de establecer una armada de aguas profundas”, o una fuerza marítima capaz de llevar a cabo operaciones en alta mar.

APT40 también apunta a los sectores de ingeniería, transporte y de defensa extranjeros, especialmente a aquellos que tienen vínculos con tecnologías marítimas. Cuando La Gran Época buscó una aclaración al respecto, FireEye no dio detalles adicionales sobre dónde estaban ubicados esos sectores.

Dos de las técnicas del grupo de hackers incluyen web shells e emails spear-phishing. Un web shell es un script o programa que puede ser cargado en un servidor web con el fin de obtener control remoto sobre el mismo. Los emails phishing generalmente implican correos electrónicos con archivos adjuntos que contienen malware (programa malicioso), así como enlaces malintencionados a Google Drive, según el informe de FireEye.

Además del foco en las tecnologías marítimas, el APT40 también apunta a “organizaciones con operaciones en el Sudeste Asiático o involucradas en las disputas en el Mar Meridional de China”. FireEye no brindó más información sobre la naturaleza de esas organizaciones.

Las disputas territoriales en el Mar Meridional de China involucran islas y arrecifes que son reclamados por múltiples países, incluyendo Brunei, China, Indonesia, Malasia, Filipinas, Taiwán y Vietnam.

La región es fundamental para la iniciativa china ‘Un Cinturón, Una Ruta’ (OBOR, por sus siglas en inglés). Anunciada por primera vez por Beijing en 2013, la iniciativa busca construir redes comerciales terrestres y marítimas con epicentro en Beijing mediante el financiamiento de proyectos de infraestructura en el sudeste asiático, África, Europa y Latinoamérica.

Según FireEye, el APT40 apunta a países “estratégicamente importantes” relacionados con el proyecto OBOR, incluyendo a Estados Unidos, Reino Unido, Camboya, Filipinas, Malasia, Noruega y Arabia Saudita. El gobierno de Estados Unidos fue muy crítico con la iniciativa, mientras que el régimen chino cortejó al Reino Unido como socio de la iniciativa OBOR, aunque este rechazó la oferta.

“A medida que se desarrollen los proyectos individuales de ‘Un Cinturón, Una Ruta’, es probable que veamos una actividad continuada del APT40 que se extienda contra los opositores regionales del proyecto”, concluye el informe de FireEye.

En diciembre de 2018, dos hackers chinos fueron acusados en un tribunal federal de Nueva York por realizar extensas campañas de hackeo para robar propiedad intelectual a miembros del servicio militar, agencias gubernamentales y empresas privadas en Estados Unidos y en una docena de países. Los dos hackers eran integrantes del grupo de hackers APT10, con sede en China, y actuaron en asociación con el buró de la ciudad de Tianjin del Ministerio de Seguridad del Estado, la principal agencia de inteligencia de China.

Dos meses antes, en octubre de 2018, el Departamento de Seguridad Nacional de Estados Unidos (DHS, por sus siglas en inglés) emitió una advertencia contra APT10 debido al aumento de ataques contra empresas estadounidenses en múltiples sectores, entre los que se incluyen la tecnología de la información, la energía, la cobertura médica, la comunicaciones y la manufactura.

Varias semanas después de la advertencia del DHS, dos oficiales de inteligencia chinos que trabajaban para la oficina de la provincia de Jiangsu del Ministerio de Seguridad del Estado fueron acusados por fiscales de Estados Unidos de robar secretos comerciales. Presuntamente organizaron un elaborado plan de hackeo para robar datos de un fabricante aeroespacial francés y de una empresa aeroespacial con sede en Estados Unidos relacionada con la fabricación de motores de aeronaves turbofán comerciales.

***

Mira a continuación

Los negocios son una guerra