Acusaciones federales en los Estados Unidos revelan cómo opera la maquinaria de ciberespionaje chino

Las bulliciosas empresas de alta tecnología de China no suelen contratar a hablantes de camboyano, por lo que se destacaron los anuncios de empleo para tres puestos bien pagados con esas habilidades lingüísticas. El anuncio, que buscaba redactores de informes de investigación, fue colocado por una empresa emergente de seguridad en Internet en la isla-provincia tropical china de Hainan.

Según un reporte de Paul Mozur y Chris Buckley para The New York Times, esa puesta en marcha fue más de lo que parecía, según la policía estadounidense. Hainan Xiandun Technology formaba parte de una red de empresas fachada controladas por el secreto Ministerio de Seguridad del Estado de China, según una acusación federal de mayo. Hackearon computadoras desde Estados Unidos hasta Camboya y Arabia Saudita, en busca de datos gubernamentales confidenciales, así como material de espionaje menos obvio, como detalles del sistema de extinción de incendios de una empresa de Nueva Jersey, según los fiscales.

Las acusaciones parecen reflejar una campaña cada vez más agresiva de los piratas informáticos del gobierno chino y un cambio pronunciado en sus tácticas: la principal agencia de espionaje de China está llegando cada vez más más allá de sus propias filas para reclutar entre un vasto grupo de talentos del sector privado.

Este nuevo grupo de piratas informáticos ha hecho que la máquina de espionaje cibernética estatal de China sea más fuerte, más sofisticada y, para su creciente variedad de objetivos gubernamentales y del sector privado, más peligrosamente impredecible. Patrocinado pero no necesariamente microgestionado por Pekín, esta nueva generación de piratas informáticos ataca tanto a objetivos gubernamentales como a empresas privadas, mezclando el espionaje tradicional con el fraude absoluto y otros delitos con fines de lucro.

El nuevo enfoque de China se basa en las tácticas de Rusia e Irán , que han atormentado a los objetivos públicos y comerciales durante años. Los piratas informáticos chinos con vínculos a la seguridad estatal exigieron un rescate a cambio de no divulgar el código fuente de la computadora de una empresa, según una acusación emitida por el Departamento de Justicia de Estados Unidos el año pasado . Otro grupo de piratas informáticos en el suroeste de China mezcló las redadas cibernéticas contra los activistas por la democracia de Hong Kong con el fraude en los sitios web de juegos, afirmó otra acusación. Un miembro del grupo se jactaba de tener protección oficial, siempre que evitaran objetivos en China.

“La ventaja es que pueden cubrir más objetivos, estimular la competencia. La desventaja es el nivel de control ”, dijo Robert Potter, director de Internet 2.0 , una firma australiana de ciberseguridad. «Los he visto hacer algunas cosas realmente descaradas, como intentar robar $ 70.000 durante una operación de espionaje».

Los investigadores creen que estos grupos han sido responsables de algunas grandes violaciones de datos recientes, incluidos ataques dirigidos a los datos personales de 500 millones de huéspedes en la cadena de hoteles Marriott, información sobre aproximadamente 20 millones de empleados del gobierno de EE. UU. Y, este año, un sistema de correo electrónico de Microsoft utilizado por muchos. de las empresas y gobiernos más grandes del mundo.

La violación de Microsoft fue diferente a la estrategia previamente disciplinada de China, dijo Dmitri Alperovitch, presidente de Silverado Policy Accelerator, un grupo de expertos geopolíticos sin fines de lucro.

“Fueron tras organizaciones en las que no tenían ningún interés y las explotaron con ransomware y otros ataques”, dijo Alperovitch.

Las tácticas de China cambiaron después de que Xi Jinping, el principal líder del país, transfiriera más responsabilidad de piratería informática del Ejército Popular de Liberación al Ministerio de Seguridad del Estado tras una serie de ataques descuidados y una reorganización del ejército. El ministerio, una mezcla de agencia de espionaje e inquisidor del Partido Comunista, ha utilizado herramientas de piratería más sofisticadas, como fallas de seguridad conocidas como días cero, para apuntar a empresas, activistas y gobiernos.

Si bien el ministerio proyecta una imagen de lealtad implacable al Partido Comunista en Beijing, sus operaciones de piratería pueden actuar como franquicias locales. Los grupos a menudo actúan según sus propias agendas, a veces incluyendo actividades marginales en el ciberdelito comercial, dijeron los expertos.

El mensaje: «Le pagamos para que trabaje de 9 a 5 para la seguridad nacional de China», dijo Alperovitch. «Lo que haces con el resto de tu tiempo, y con las herramientas y el acceso que tienes, es realmente asunto tuyo».

Una acusación del gran jurado publicada el año pasado acusó a dos excompañeros de una escuela de ingeniería eléctrica en Chengdu, en el suroeste de China, merodearon servidores informáticos extranjeros y robaron información de disidentes y diagramas de ingeniería de un contratista de defensa australiano. Por otro lado, decía la acusación, los dos intentaron extorsión: exigir un pago a cambio de no revelar el código fuente de una empresa no identificada en Internet.

Bajo este sistema, los hackers chinos se han vuelto cada vez más agresivos. La tasa de ataques globales vinculados al gobierno chino casi se ha triplicado desde el año pasado en comparación con los cuatro años anteriores, según Recorded Future, una empresa de Somerville, Massachusetts, que estudia el uso de Internet por parte de actores vinculados al estado. Ese número ahora promedia más de 1,000 por período de tres meses, dijo.

“Teniendo en cuenta el volumen que está pasando, ¿cuántas veces los ha recibido el FBI? Muy pocos ”, dijo Nicholas Eftimiades, un alto funcionario de inteligencia estadounidense retirado que escribe sobre las operaciones de espionaje de China. «No hay forma de que pueda contar con personal para poder lidiar con este tipo de embestida».

Aunque sus números hacen que sea difícil detenerlos, los piratas informáticos no siempre se esfuerzan por cubrir sus huellas. A veces dejan pistas esparcidas en línea, incluidas fotos de bodas de agentes con uniformes de seguridad estatal, anuncios de trabajo reveladores y alardes de sus hazañas.

Hainan Xiandun se creó para reclutar jóvenes talentos y crear una apariencia de negación, dijeron los fiscales. Publicó anuncios de empleo en los foros de mensajes de las universidades chinas y patrocinó un concurso de ciberseguridad.

Las operaciones de Hainan, una isla que se adentra en el mar de China Meridional, a veces reflejaban prioridades locales, como robar investigación marina de una universidad en California y piratear gobiernos en países cercanos del sudeste asiático, según la acusación de mayo. Su anuncio de empleo para hablantes de camboyano se colocó tres meses antes de las elecciones camboyanas.

Si bien algunos objetivos tenían objetivos de espionaje claros, otros parecían menos enfocados. Los piratas informáticos intentaron robar datos de la vacuna contra el ébola de una institución, dijeron los fiscales, y secretos sobre los vehículos autónomos de otra.

En enero de 2020, un misterioso blog con un historial de exponer a los piratas informáticos de la seguridad estatal chinos captó el rastro. El blog, » Intrusion Truth «, ya era conocido en los círculos de ciberseguridad de Washington por nombrar a los oficiales de inteligencia chinos mucho antes de que aparecieran en las acusaciones estadounidenses.

Los operadores de «Intrusion Truth» buscaron en las bolsas de trabajo de las empresas de Hainan que anunciaban «ingenieros de pruebas de penetración», que protegen las redes explorando cómo podrían ser pirateadas.

Destacó una publicación de Hainan Xiandun. El anuncio, en una junta de contratación de informática de la Universidad de Sichuan de 2018, se jactaba de que Xiandun había «recibido una cantidad considerable de negocios relacionados con secretos del gobierno».

La compañía, con sede en la capital de Hainan, Haikou, pagaba salarios mensuales de entre 1.200 y 3.000 dólares, salarios sólidos de clase media para los trabajadores tecnológicos chinos recién egresados ​​de la universidad, con bonificaciones de hasta 15.000 dólares. Los anuncios de Xiandun enumeraban una dirección de correo electrónico utilizada por otras empresas que buscaban expertos en ciberseguridad y lingüistas, lo que sugería que eran parte de una red.

Los grupos de piratas informáticos chinos están cada vez más «compartiendo malware, exploits y coordinando sus esfuerzos», escribieron los operadores de «Intrusion Truth» en un correo electrónico. Los operadores no han revelado sus identidades, citando la sensibilidad de su trabajo.

La dirección registrada de Xiandun era la biblioteca de la Universidad de Hainan. Su número de teléfono coincidía con el de un profesor de informática y veterano del Ejército Popular de Liberación que dirigía un sitio web que ofrecía pagos a estudiantes con ideas novedosas sobre cómo descifrar contraseñas. El profesor no ha sido acusado.

Otros registros y números de teléfono llevaron a los autores del blog a una dirección de correo electrónico y una cuenta de viajero frecuente propiedad de Ding Xiaoyang, uno de los gerentes de la empresa.

La acusación afirmaba que el Sr. Ding era un oficial de seguridad del estado que dirigía a los piratas informáticos que trabajaban en Hainan Xiandun. Incluía detalles que el blog no encontró, como un premio que el Sr. Ding recibió del Ministerio de Seguridad del Estado para los líderes jóvenes de la organización.

No se pudo localizar al Sr. Ding y otras personas nombradas en la acusación.

Aunque se puede rastrear por ahora, el aparato de seguridad estatal de China puede estar aprendiendo cómo ocultar mejor sus huellas, dijo Matthew Brazil, un exespecialista en China de la Oficina de Control de Exportaciones del Departamento de Comercio que coescribió un estudio sobre el espionaje chino .

«Las capacidades de los servicios chinos son desiguales», dijo. «Su juego está mejorando y en cinco o diez años será una historia diferente».

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *