Un tesoro de documentos filtrados de un grupo de piratas informáticos vinculado al Estado chino muestra que los grupos militares y de inteligencia de Beijing están intentando intrusiones cibernéticas sistemáticas y a gran escala contra gobiernos, empresas e infraestructuras extranjeras; los piratas informáticos de una empresa afirman poder atacar a los usuarios de Microsoft, Apple y Google.
El caché, que contiene más de 570 archivos, imágenes y registros de chat, ofrece una mirada sin precedentes al interior de las operaciones de una de las empresas que las agencias gubernamentales chinas contratan para operaciones de recopilación masiva de datos bajo demanda.
Los archivos, publicados en GitHub la semana pasada y considerados creíbles por los expertos en ciberseguridad, aunque la fuente sigue siendo desconocida, detallan contratos para extraer datos extranjeros durante ocho años y describen objetivos dentro de al menos 20 gobiernos y territorios extranjeros, incluidos India, Hong Kong, Tailandia. Corea del Sur, Reino Unido, Taiwán y Malasia. La publicación india BNN informó anteriormente sobre los documentos.
‘Rara vez tenemos un acceso tan ilimitado al funcionamiento interno de cualquier operación de inteligencia’, dijo John Hultquist, analista jefe de Mandiant Intelligence, una empresa de ciberseguridad propiedad de Google Cloud. ‘Tenemos todas las razones para creer que estos son datos auténticos de un contratista que apoya operaciones de ciberespionaje nacionales e internacionales desde China’, dijo.
Los funcionarios de inteligencia estadounidenses ven a China como la mayor amenaza a largo plazo para la seguridad estadounidense y han dado la alarma sobre sus campañas de piratería selectiva.
Los expertos están estudiando minuciosamente los documentos, que ofrecen una visión inusual dentro de la intensa competencia de la industria de recopilación de datos de seguridad nacional de China, donde grupos rivales compiten por lucrativos contratos gubernamentales prometiendo un acceso cada vez más devastador y completo a información sensible considerada útil por la policía, el ejército y el ejército chinos. y agencias de inteligencia.
Los documentos provienen de iSoon, también conocida como Auxun, una empresa china con sede en Shanghai que vende servicios de recopilación de datos y piratería de terceros a oficinas gubernamentales, grupos de seguridad y empresas estatales chinas.
El tesoro no incluye datos extraídos de operaciones de piratería chinas, pero enumera objetivos y, en muchos casos, resúmenes de cantidades de datos de muestra extraídas y detalles sobre si los piratas informáticos obtuvieron el control total o parcial de los sistemas extranjeros.
Una hoja de cálculo enumeraba 80 objetivos en el extranjero que los piratas informáticos de iSoon parecían haber violado con éxito. El botín incluyó 95,2 gigabytes de datos de inmigración de la India y una colección de 3 terabytes de registros de llamadas del proveedor de telecomunicaciones LG U Plus de Corea del Sur. El grupo también apuntó a otras empresas de telecomunicaciones en Hong Kong, Kazajstán, Malasia, Mongolia, Nepal y Taiwán. La Embajada de la India en Washington no respondió a una solicitud de comentarios sobre los documentos.
Pronto los clientes también solicitaron u obtuvieron datos de infraestructura, según los documentos filtrados. La hoja de cálculo mostró que la empresa tenía una muestra de 459 GB de datos de mapas de carreteras de Taiwán, la isla de 23 millones de habitantes que China reclama como su territorio.
Los analistas dijeron que los datos de carreteras podrían resultar útiles para el ejército chino en caso de una invasión de Taiwán. ‘Comprender el terreno de las carreteras y la ubicación de puentes y túneles es esencial para poder mover fuerzas blindadas e infantería alrededor de la isla en un esfuerzo por ocupar Taiwán’, dijo Dmitri Alperovitch, experto en seguridad nacional y presidente de Silverado Policy Accelerator, un grupo de expertos. .
Entre otros objetivos se encontraban 10 agencias del gobierno tailandés, incluido el Ministerio de Relaciones Exteriores, la agencia de inteligencia y el Senado del país. La hoja de cálculo señala que iSoon contiene datos de muestra extraídos de esas agencias entre 2020 y 2022. La Embajada de Tailandia en Washington no respondió a una solicitud de comentarios.
La mayoría de los objetivos estaban en Asia, aunque iSoon recibió solicitudes de piratería en lugares más lejanos. Los registros de chat incluidos en la filtración describen la venta de datos no especificados relacionados con la OTAN en 2022. No está claro si los datos se recopilaron de fuentes disponibles públicamente o se extrajeron mediante un hack.
“La Alianza se enfrenta a amenazas cibernéticas persistentes y se ha preparado para ello invirtiendo en amplias defensas cibernéticas. La OTAN revisa cada denuncia de amenazas cibernéticas”, dijo un funcionario de la OTAN.
Otro archivo muestra a empleados discutiendo una lista de objetivos en Gran Bretaña, incluidas sus oficinas del Interior y de Asuntos Exteriores, así como su Tesoro. También en la lista estaban los think tanks británicos Chatham House y el Instituto Internacional de Estudios Estratégicos.
“En el clima actual, nosotros, junto con muchas otras organizaciones, somos blanco de intentos regulares de ataques tanto por parte de actores estatales como no estatales”, dijo un portavoz de Chatham House. El grupo está ‘naturalmente preocupado’ por las filtraciones, pero cuenta con medidas de protección, dijo el portavoz.
Cuando se le preguntó sobre los documentos filtrados, el Ministerio de Asuntos Exteriores del Reino Unido declinó hacer comentarios.
Los piratas informáticos también facilitaron los intentos de extraer información de socios diplomáticos cercanos, incluidos Pakistán y Camboya.
China fomenta la rivalidad entre hackers
ISoon es parte de un ecosistema de contratistas que surgió de una escena de piratería “patriótica” establecida hace más de dos décadas. Ahora trabaja para una variedad de poderosas entidades gubernamentales, incluido el Ministerio de Seguridad Pública, el Ministerio de Seguridad del Estado y el ejército chino.
Según funcionarios estadounidenses, los piratas informáticos del Ejército Popular de Liberación han vulnerado los sistemas informáticos de unas dos docenas de entidades de infraestructura estadounidenses clave durante el año pasado en un intento de establecer un punto de apoyo y poder interrumpir los servicios públicos de energía y agua, así como los sistemas de comunicaciones y transporte. .
El modelo chino de combinar el apoyo estatal con un incentivo de ganancias ha creado una gran red de actores que compiten para explotar las vulnerabilidades y hacer crecer sus negocios. La escala y la persistencia de sus ataques son dolores de cabeza para los gigantes tecnológicos estadounidenses como X, Microsoft y Apple, que ahora están atrapados en una carrera constante para burlar a los piratas informáticos.
Todos los productos de software tienen vulnerabilidades y un mercado global sólido recompensa a quienes encuentran debilidades de seguridad o desarrollan herramientas conocidas como exploits para aprovecharlas. Muchos proveedores de software ofrecen recompensas para recompensar a los investigadores que informan sobre fallas de seguridad, pero los contratistas gubernamentales en Estados Unidos y otros lugares a menudo reclaman estas vulnerabilidades, pagando más por el derecho a utilizarlas en actividades de espionaje o ofensivas.
Los contratistas de defensa e inteligencia de Estados Unidos también desarrollan herramientas para piratear software, que luego utilizan los funcionarios federales en operaciones de vigilancia y espionaje, o en armas cibernéticas ofensivas.
Los investigadores de seguridad chinos en empresas privadas han mejorado de manera demostrable en los últimos años, ganando un mayor número de concursos internacionales de piratería y obteniendo más recompensas de las empresas de tecnología.
Pero los archivos de iSoon contienen quejas de empleados descontentos por los bajos salarios y la carga de trabajo. Muchos hackers trabajan por menos de 1.000 dólares al mes, un salario sorprendentemente bajo incluso en China, dijo Adam Kozy, ex analista del FBI que está escribiendo un libro sobre el hacking chino.
Las filtraciones insinúan luchas internas e insatisfacción en la red de hackers patrióticos chinos, a pesar de la colaboración de larga data entre grupos.
Aunque no está claro quién publicó los documentos y por qué, los expertos en ciberseguridad dijeron que podría tratarse de un ex empleado descontento o incluso de un ataque de una empresa rival.
El filtrador se presentó en GitHub como un denunciante que expone malas prácticas, malas condiciones laborales y productos de “baja calidad” que iSoon está utilizando para “engañar” a sus clientes gubernamentales. En chats marcados como que presentaban quejas de los trabajadores, los empleados se quejaban de sexismo, largas horas de trabajo y ventas débiles.
Hackers a sueldo
Dentro de China, estos grupos se presentan como esenciales para la extensa campaña del Partido Comunista para eliminar las amenazas a su gobierno desde el ciberespacio.
En los últimos años, China ha intensificado sus esfuerzos para rastrear las redes sociales públicas internacionales y rastrear objetivos en el extranjero, aunque el cruce entre el monitoreo público masivo y la piratería privada a menudo no está claro.
ISoon ha firmado cientos de acuerdos con la policía china que van desde pequeños trabajos valorados en 1.400 dólares hasta contratos multianuales que cuestan hasta 800.000 dólares, según mostró una hoja de cálculo.
Los manuales de productos filtrados de la empresa describen los servicios que ofrecen y sus precios, y alardean de poder robar datos sin ser detectados. Las descripciones de los productos, dirigidas a clientes de seguridad del Estado, a veces utilizan lenguaje de tiempos de guerra para describir una misión de extracción de datos respaldada por amenazas extremas a la seguridad nacional de China.
“La información se ha convertido cada vez más en el elemento vital de un país y en uno de los recursos que los países luchan por aprovechar. En la guerra de información, robar información del enemigo y destruir los sistemas de información del enemigo se han convertido en la clave para derrotar al enemigo”, se lee en un documento que describe un paquete iSoon a la venta que, según afirma, permitiría a los clientes acceder y controlar de forma encubierta cuentas de Microsoft Outlook y Hotmail mediante evitando los protocolos de autenticación.
Los manuales de productos de ISoon también anuncian un servicio de 25.000 dólares para un sistema de control de “acceso remoto” para obtener datos de un teléfono inteligente Apple iOS de un objetivo, incluyendo “información básica del teléfono móvil, posicionamiento GPS, contactos del teléfono móvil” y “grabación del entorno”.
Un discurso anunciaba un servicio en el que iSoon podría realizar de manera eficiente campañas de phishing contra individuos o grupos de usuarios de Twitter. Otro describió los servicios que permitirían a la empresa controlar de forma remota los sistemas operativos Windows y Mac específicos.
Apple, Microsoft y X, anteriormente Twitter, no respondieron a las solicitudes de comentarios.
Google dijo que los documentos no enumeraban vulnerabilidades específicas en su software. Un portavoz dijo que los piratas informáticos probablemente intentaban que los objetivos instalaran software malicioso, que luego persistía sin ser detectado.
Además de cerrar acuerdos a largo plazo, iSoon trabajó regularmente bajo demanda en respuesta a solicitudes de la policía en ciudades chinas más pequeñas y con empresas privadas, según páginas de registros de conversaciones entre los altos ejecutivos de la compañía.
A veces, los clientes sabían exactamente lo que querían (por ejemplo, encontrar la identidad de un usuario específico de Twitter), pero a menudo también hacían solicitudes abiertas. En un intercambio, los empleados discutieron una solicitud de una oficina de seguridad estatal en el sur de China preguntando si iSoon tenía mucho que ofrecer en el cercano Hong Kong. En su lugar, un empleado de iSoon sugirió correos electrónicos de Malasia.
El enfoque disperso pareció motivado en parte por la presión de los clientes para entregar más información y de mayor calidad. Pero a pesar de que la empresa se jacta de tener capacidades de vanguardia, los chats muestran que los clientes regularmente no quedaban impresionados con la información pirateada.
Pronto no se pudo extraer datos de las agencias gubernamentales en repetidas ocasiones, según mostraron las discusiones internas, y algunas autoridades locales se quejaron de una inteligencia deficiente.
Aunque algunos de los servicios de iSoon se centraron en amenazas internas, la compañía a menudo destacó su capacidad para piratear objetivos extranjeros en la región (incluidos departamentos gubernamentales en India y Nepal, así como organizaciones tibetanas en el extranjero) para atraer clientes. En diciembre de 2021, el grupo afirmó haber obtenido acceso a la intranet del gobierno tibetano en el exilio, lo que desató una búsqueda frenética de un comprador. Unos 37 minutos más tarde, la empresa encontró un cliente interesado.
Otro producto, con un precio de 55.600 dólares por paquete, está destinado a permitir el control y la gestión de la discusión en Twitter, incluido el uso de enlaces de phishing para acceder y apoderarse de cuentas específicas. ISoon afirma que el sistema permite a los clientes encontrar y responder a sentimientos ‘ilegales’ y ‘reaccionarios’ utilizando cuentas controladas centralmente por el cliente para ‘manipular la discusión’.
Los documentos muestran que iSoon conoció y trabajó con miembros de APT41, un grupo de piratería chino que fue acusado por el Departamento de Justicia de EE. UU. en 2020 de atacar a más de 100 empresas de videojuegos, universidades y otras víctimas en todo el mundo.
Posteriormente, el fundador y director ejecutivo de iSoon, Wu Haibo, que utiliza el alias ‘shutdown’, bromeó con otro ejecutivo acerca de ir a tomar bebidas ’41’ con Chengdu 404, la organización de la que forma parte APT41, para celebrar que ahora están ‘verificados’. por el Negociado Federal de Investigaciones”.
Pero los mensajes de chat entre ejecutivos de 2022 sugieren que las relaciones entre los grupos se habían deteriorado porque iSoon se retrasó en pagar a Chengdu 404 más de 1 millón de yuanes (140.000 dólares). Posteriormente, Chengdu 404 demandó a iSoon en una disputa sobre un contrato de desarrollo de software.
Wu y su equipo parecían indiferentes ante la idea de que algún día serían acusados por autoridades estadounidenses como APT41. En julio de 2022, un ejecutivo le preguntó a Wu si Estados Unidos estaba vigilando de cerca a la empresa. ‘No me molesta’, respondió Wu. ‘De todos modos, era una cuestión de tarde o temprano’.
Ni iSoon ni Wu respondieron a las solicitudes de comentarios enviadas por correo electrónico.
Fuente: https://www.washingtonpost.com/world/2024/02/21/china-hacking-leak-documents-isoon/