Una serie de documentos filtrados de un grupo de piratas informáticos vinculado al Estado chino muestra que los grupos de inteligencia y militares de Beijing están llevando a cabo intrusiones cibernéticas sistemáticas y a gran escala contra gobiernos, empresas e infraestructuras extranjeras, aprovechando lo que, según los piratas, son vulnerabilidades del software estadounidense de empresas como Microsoft, Apple y Google.
El alijo, que contiene más de 570 archivos, imágenes y registros de chat, ofrece una visión sin precedentes de las operaciones de una de las empresas que las agencias gubernamentales chinas contratan para operaciones de recopilación masiva de datos bajo demanda.
Los archivos -publicados en GitHub la semana pasada y considerados creíbles por expertos en ciberseguridad, aunque la fuente sigue siendo desconocida- detallan contratos para extraer datos extranjeros durante ocho años y describen objetivos dentro de al menos 20 gobiernos y territorios extranjeros, incluidos India, Hong Kong, Tailandia, Corea del Sur, Reino Unido, Taiwán y Malasia. La publicación india BNN informó anteriormente sobre los documentos.
John Hultquist, analista jefe de Mandiant Intelligence, una empresa de ciberseguridad propiedad de Google Cloud, afirmó: “Rara vez tenemos un acceso tan ilimitado al funcionamiento interno de una operación de inteligencia”. “Tenemos todas las razones para creer que estos son los datos auténticos de un contratista que apoya operaciones de ciberespionaje globales y domésticas desde China”, dijo.
Los servicios de inteligencia de Estados Unidos consideran que China es la mayor amenaza a largo plazo para la seguridad estadounidense y han dado la voz de alarma por sus campañas de piratería informática selectiva.
Los expertos están estudiando detenidamente los documentos, que ofrecen una visión inusual de la intensa competencia que existe en el sector chino de la recopilación de datos de seguridad nacional, en el que empresas rivales compiten por lucrativos contratos gubernamentales prometiendo un acceso cada vez más devastador y exhaustivo a información sensible considerada útil por la policía, el ejército y los servicios de inteligencia chinos.
Los documentos proceden de iSoon, también conocida como Auxun, una empresa china con sede en Shanghai que vende servicios de piratería informática y recopilación de datos de terceros a oficinas gubernamentales, grupos de seguridad y empresas estatales chinas.
El material no incluye datos extraídos de operaciones de pirateo informático chinas, sino una lista de objetivos y, en muchos casos, resúmenes de las cantidades de datos de muestra extraídos y detalles sobre si los piratas obtuvieron el control total o parcial de sistemas extranjeros.
En una hoja de cálculo se enumeraban 80 objetivos en el extranjero que los piratas informáticos de iSoon parecían haber penetrado con éxito. El botín incluía 95,2 gigabytes de datos de inmigración de la India y una colección de 3 terabytes de registros de llamadas del proveedor de telecomunicaciones LG U Plus de Corea del Sur. El grupo también atacó otras empresas de telecomunicaciones de Hong Kong, Kazajstán, Malasia, Mongolia, Nepal y Taiwán. La Embajada de la India en Washington no respondió a la solicitud de comentarios sobre los documentos.
Los clientes de ISoon también solicitaron u obtuvieron datos sobre infraestructuras, según los documentos filtrados. La hoja de cálculo mostraba que la empresa tenía una muestra de 459 GB de datos de cartografía de carreteras de Taiwán, la isla de 23 millones de habitantes que China reclama como territorio.
Los datos sobre carreteras podrían resultar útiles al ejército chino en caso de invasión de Taiwán, según los analistas. “Comprender el terreno de las carreteras y la ubicación de puentes y túneles es esencial para poder desplazar fuerzas blindadas e infantería por la isla en un intento de ocupar Taiwán”, declaró Dmitri Alperovitch, experto en seguridad nacional y presidente del grupo de expertos Silverado Policy Accelerator.
Entre otros objetivos se encontraban 10 organismos gubernamentales tailandeses, como el Ministerio de Asuntos Exteriores, la Agencia de Inteligencia y el Senado. La hoja de cálculo señala que iSoon tiene datos de muestra extraídos de esas agencias entre 2020 y 2022. La embajada tailandesa en Washington no respondió a la solicitud de comentarios.
La mayoría de los objetivos se encontraban en Asia, aunque iSoon recibió solicitudes de hackeos más lejanos. Los registros de chat incluidos en la filtración describen la venta de datos no especificados relacionados con la OTAN en 2022. No está claro si los datos se obtuvieron de fuentes públicas o se extrajeron en un pirateo informático. La OTAN no respondió inmediatamente a una solicitud de comentarios.
Otro archivo muestra a los empleados discutiendo una lista de objetivos en Gran Bretaña, incluyendo sus oficinas de Interior y Exteriores, así como del Tesoro. También estaban en la lista los think tanks británicos Chatham House y el Instituto Internacional de Estudios Estratégicos.
“En el clima actual, nosotros, junto con muchas otras organizaciones, somos el blanco de intentos regulares de ataques por parte de actores estatales y no estatales”, dijo un portavoz de Chatham House, que afirmó que el grupo está “naturalmente preocupado” por las filtraciones, pero que cuenta con medidas de protección.
Preguntado por los documentos filtrados, el Ministerio de Asuntos Exteriores del Reino Unido declinó hacer comentarios.
Los hackers también facilitaron intentos de extraer información de estrechos socios diplomáticos, entre ellos Pakistán y Camboya.
China fomenta la rivalidad entre hackers
ISoon forma parte de un ecosistema de contratistas surgido de una escena de piratería informática “patriótica” establecida hace más de dos décadas y que ahora trabaja para una serie de poderosas entidades gubernamentales, como el Ministerio de Seguridad Pública, el Ministerio de Seguridad del Estado y el ejército chino.
Según funcionarios estadounidenses, piratas informáticos del Ejército Popular de Liberación han penetrado en los sistemas informáticos de unas dos docenas de entidades clave de las infraestructuras estadounidenses durante el último año, en un intento por afianzarse y poder interrumpir los servicios públicos de electricidad y agua, así como el sistema de comunicaciones y transportes.
El modelo chino, que combina el apoyo del Estado con el ánimo de lucro, ha creado una amplia red de actores que compiten por explotar las vulnerabilidades y hacer crecer su negocio. La escala y la persistencia de sus ataques suponen un quebradero de cabeza para gigantes tecnológicos estadounidenses como X, Microsoft y Apple, que ahora están inmersos en una carrera constante para ser más listos que los piratas informáticos.
Todos los productos de software tienen vulnerabilidades, y un sólido mercado mundial recompensa a quienes encuentran puertas traseras o desarrollan herramientas conocidas como exploits para aprovecharse de ellas. Muchos proveedores de software ofrecen recompensas para recompensar a los investigadores que informan de fallos de seguridad, pero los contratistas gubernamentales de Estados Unidos y otros países suelen reclamar estos exploits, pagando más por el derecho a utilizarlos en actividades de espionaje u ofensivas.
Los contratistas de defensa e inteligencia estadounidenses también desarrollan herramientas para penetrar en el software, que luego utilizan los funcionarios federales en operaciones de vigilancia y espionaje, o en ciberarmas ofensivas.
Los investigadores de seguridad chinos de empresas privadas han mejorado notablemente en los últimos años, ganando un mayor número de competiciones internacionales de hacking y cobrando más recompensas de las empresas tecnológicas.
Pero los archivos de iSoon contienen quejas de empleados descontentos por la escasa remuneración y la carga de trabajo. Muchos hackers trabajan por menos de 1.000 dólares al mes, un sueldo sorprendentemente bajo incluso en China, según Adam Kozy, un antiguo analista del FBI que está escribiendo un libro sobre el hacking chino.
Las filtraciones apuntan a luchas internas e insatisfacción en la red de hackers patrióticos chinos, a pesar de la larga colaboración entre grupos.
Aunque no está claro quién publicó los documentos ni por qué, los expertos en ciberseguridad afirman que podría tratarse de un antiguo empleado descontento o incluso de un hacker de un grupo rival.
El autor de la filtración se presentó en GitHub como un denunciante de malas prácticas, malas condiciones de trabajo y productos de “baja calidad” que iSoon utiliza para “engañar” a sus clientes gubernamentales. En los chats marcados como quejas de los trabajadores, los empleados se quejaban de sexismo, largas horas de trabajo y escasas ventas.
Hackers a sueldo
En China, estos grupos se presentan como esenciales en la amplia campaña del Partido Comunista para eliminar las amenazas a su dominio desde el ciberespacio.
En los últimos años, China ha intensificado sus esfuerzos por rastrear las redes sociales públicas internacionales y localizar objetivos en el extranjero, aunque el cruce entre la vigilancia pública de masas y el pirateo privado no suele estar claro.
ISoon ha firmado cientos de acuerdos con la policía china que van desde pequeños trabajos por 1.400 dólares hasta contratos plurianuales de hasta 800.000 dólares, según se desprende de una hoja de cálculo.
Los manuales de producto filtrados de la empresa describen los servicios que ofrecen y sus precios, y presumen de ser capaces de robar datos sin ser detectados. Las descripciones de los productos, dirigidos a la clientela de la seguridad del Estado, utilizan a veces un lenguaje bélico para describir una misión de extracción de datos respaldada por amenazas extremas a la seguridad nacional de China.
“La información se ha convertido cada vez más en la savia de un país y en uno de los recursos que los países se esfuerzan por aprovechar. En la guerra de la información, el robo de información enemiga y la destrucción de los sistemas de información enemigos se han convertido en la clave para derrotar al enemigo”, se lee en un documento que describe un paquete de iSoon a la venta que, según afirma, permitiría a los clientes acceder y controlar de forma encubierta las cuentas de Microsoft Outlook y Hotmail eludiendo los protocolos de autenticación.
Los manuales de producto de ISoon también anuncian un servicio de 25.000 dólares para un sistema de control de “acceso remoto” que permite obtener datos del smartphone Apple iOS de un objetivo, incluida “información básica del teléfono móvil, posicionamiento GPS, contactos del teléfono móvil” y “grabación del entorno”.
En una de las propuestas se anunciaba un servicio por el que iSoon podría llevar a cabo campañas de phishing contra individuos o grupos de usuarios de Twitter. Otro describía servicios que permitirían a la empresa controlar a distancia sistemas operativos Windows y Mac.
Apple, Microsoft, Google y X, antes Twitter, no respondieron a las solicitudes de comentarios.
Además de suscribir acuerdos a largo plazo, iSoon trabajaba regularmente bajo demanda en respuesta a peticiones de la policía de ciudades chinas más pequeñas y con empresas privadas, según se desprende de las páginas de los registros de chat entre los altos ejecutivos de la empresa.
A veces los clientes sabían exactamente lo que querían -por ejemplo, encontrar la identidad de un usuario concreto de Twitter-, pero también solían hacer peticiones abiertas. En una ocasión, los empleados comentaron una solicitud de una oficina de seguridad estatal del sur de China que preguntaba si iSoon tenía mucho que ofrecer sobre la cercana Hong Kong. Un empleado de iSoon sugirió correos electrónicos de Malasia.
Este enfoque disperso parece motivado en parte por la presión de los clientes para que se proporcione más información y de mayor calidad. Pero, a pesar de que la empresa presumía de sus capacidades de vanguardia, los chats muestran que los clientes no solían quedar impresionados con la información pirateada.
En repetidas ocasiones, ISoon no conseguía extraer datos de las agencias gubernamentales, según se desprende de las conversaciones internas, en las que algunas autoridades locales se quejaban de la escasa calidad de la información.
Aunque algunos de los servicios de iSoon se centraban en amenazas nacionales, la empresa a menudo destacaba su capacidad para atacar objetivos extranjeros en la región -incluidos departamentos gubernamentales en India y Nepal, así como en organizaciones tibetanas en el extranjero- para atraer clientes. En diciembre de 2021, el grupo afirmó que había conseguido acceder a la intranet del Gobierno tibetano en el exilio, lo que desencadenó una frenética búsqueda de un comprador. Unos 37 minutos después, la empresa había encontrado un cliente interesado.
Otro producto, con un precio de 55.600 dólares por paquete, permite controlar y gestionar los debates en Twitter, incluido el uso de enlaces de suplantación de identidad para acceder a cuentas específicas y hacerse con ellas. ISoon afirma que el sistema permite entonces a los clientes encontrar y responder a “sentimientos ilegales” y “reaccionarios” utilizando cuentas controladas centralmente por el cliente para “manipular la discusión”.
Los documentos muestran que iSoon se reunió y trabajó con miembros de APT41, un grupo de piratas informáticos chinos que fue acusado por el Departamento de Justicia de Estados Unidos en 2020 por atacar a más de 100 empresas de videojuegos, universidades y otras víctimas en todo el mundo.
Después, el fundador y CEO de iSoon, Wu Haibo, que se hace llamar “shutd0wn”, bromeó con otro ejecutivo sobre ir a tomar unas copas “41″ con Chengdu 404 -la organización de la que forma parte APT41- para celebrar que ahora están “verificados por la Oficina Federal de Investigación.”
Pero los mensajes de chat entre ejecutivos de 2022 sugieren que las relaciones entre los grupos se habían agriado porque iSoon se retrasó en el pago a Chengdu 404 de más de 1 millón de yuanes (140.000 dólares). Más tarde, Chengdu 404 demandó a iSoon por un contrato de desarrollo de software.
Wu y su equipo parecían indiferentes ante la idea de que algún día fueran acusados por las autoridades estadounidenses como APT41. En julio de 2022, un ejecutivo preguntó a Wu si la empresa estaba siendo vigilada de cerca por Estados Unidos. “No me molesta”, respondió Wu. “De todas formas era cuestión de tarde o temprano”.
Ni iSoon ni Wu respondieron a las solicitudes de comentarios enviadas por correo electrónico.
© 2024, The Washington Post