La empresa estadounidense de seguridad cibernética Mandiant, subsidiaria de Google, reveló que piratas informáticos chinos respaldados por su gobierno, se valieron de una vulnerabilidad en un reconocido dispositivo de seguridad de correo electrónico, para acceder a las redes de numerosas organizaciones públicas y privadas en diversos países del mundo, indicó la agencia estadounidense de noticias AP el 15 de junio.
“El Estado chino si mantiene acuerdos con esos grupos”, aseguró el 25 de junio a Diálogo Víctor Ruiz, fundador del centro de ciberseguridad SILIKN en México. “Esos grupos tienen sus orígenes en células militares enfocadas al entorno cibernético”.
Mandiant informó que el grupo que pirateó el Email Security Gateway de Barracuda Networks, “es un actor de espionaje […] en apoyo a la República Popular de China” que ha estado explotado una vulnerabilidad desde el 10 de octubre de 2022.
“Esta es la campaña de espionaje cibernético más amplia conocida de China, desde la explotación masiva de Microsoft Exchange a principios de 2021”, dijo a AP Charles Carmakal, director técnico de Mandiant. Un tercio de estas entidades corresponden a agencias gubernamentales, incluyendo los ministerios de relaciones exteriores.
Modus operandi
Los piratas informáticos chinos enviaron correos electrónicos a organizaciones objetivos, adjuntado archivos maliciosos para tener acceso a los datos y dispositivos de las organizaciones, detalló el comunicado. Los correos examinados presentaban un contenido genérico tanto en el asunto como en el cuerpo del mensaje, además de errores gramaticales.
Los objetivos reconocidos incluían funcionarios de gobierno asiáticos y europeos en el sudeste asiático, Medio Oriente y África. Pero la mayor parte de los objetivos elegidos eran de América como ministerios de gobierno, oficinas de comercio e institutos de investigación académica, abundó Mandiant.
Volt Typhoon
Microsoft indicó en mayo que la banda cibernética Volt Typhoon, patrocinada por Beijing, buscaba interrumpir la infraestructura crítica en los Estados Unidos. El grupo de piratas es operado por unidades de piratería de élite dentro del Ejército de China, señaló la revista estadounidense The Diplomat, el 1.º de junio.
Volt Typhoon apunta desde 2021 a sistemas de infraestructura crítica en la isla de Guam, en un activo militar estadounidense cerca de Taiwán, y en los EE. UU. En sectores de comunicaciones, manufactura, servicios públicos, transporte, construcción, marítimo, gobierno, tecnología de la información y educación, indicó Microsoft.
Asimismo, señaló que el ataque a los enrutadores de Internet y otros dispositivos era un medio para desarrollar capacidades cibernéticas para interrumpir el sistema de comunicaciones crítica entre los EE. UU. y algunas regiones de Asia durante futuras crisis.
Los ciberataques chinos son el equivalente no cinético de una prueba de armas, una prueba inicial para ver cómo responden sus objetivos, para calibrar los planeas de acción futuros, detalló The Diplomat. China intenta replicar el libro de jugadas de Rusia contra Occidente, abundó.
Puerta trasera
Las agencias de inteligencia y los grupos de seguridad cibernética de Occidente identificaron otras bandas cibernéticas que apuntan a todo, patrocinadas por el Estado chino, indicó la agencia británica de noticias Reuters.
Un ejemplo de ello es el grupo de piratas informáticos chino BackdoorDiplomacy, quien atacó varios ministerios e instituciones del Gobierno de Kenia para obtener información sobre la deuda que la nación africana tiene con Beijing, detalló Reuters. Kenia es un vínculo estratégico en la iniciativa de la Franja y la Ruta.
“China siempre busca proteger sus propios intereses y sabe que ésta es la manera de buscar información, de robar información y de extorsionar a los países”, expresó Ruiz. “Es algo que no dejaría de hacer con los países latinoamericanos. Si ya lo hace con otros, pudiera atacarnos”.
BackdoorDiplomacy es parte del cibergrupo de Amenazas Persistentes Avanzadas (APT) 15, mas conocido como APT15, activo desde 2010; históricamente dirige sus ataques hacia entidades gubernamentales y diplomáticas en América, África y Oriente Medio, indica en en un informe la empresa de seguridad Palo Alto Networks. Los grupos APT suelen tener como objetivo acceder a una red sin ser detectados, establecer una puerta trasera y robar datos.
Amenazas avanzadas
APT41 y APT27, son los grupos activos más antiguos y peligroso, capaces de poner en peligro la seguridad de un país a través de herramientas de programas malignos inusuales, indica en Internet la agencia de noticias South Asia´s Leading Multimedia.
En 2020, APT41 pirateo ordenadores de cientos de empresas y organizaciones de todo el mundo, incluidas empresas de desarrollo de software, fabricantes de hardware informático, proveedores de telecomunicaciones, empresas de redes sociales, universidades y gobiernos, señaló el Departamento de Justicia de los EE. UU.
También robó beneficios de alivio de COVID de los EE. UU. por valor de decenas de millones de dólares entre 2020 y 2022, reportó Reuters. APT 26, se centra en los sectores aeroespaciales, de defensa y energía, precisó Asia´s Leading. En 2022, APT 27 amenazó con realizar una operación cibernética especial contra Taiwán.
“Es probable que estos grupos chinos ya estén dentro de varias organizaciones [públicas y privadas] en Latinoamérica vigilando y espiando, sin que las organizaciones se den cuenta. Esos grupos pueden pasar años dentro de una organización, para extraer información y robar datos sin ser detectadas”, señaló Ruiz.
Cultura de ciberseguridad
Para enfrentar a esos grupos chinos, “EE. UU. debería de firmar acuerdos con los países de Latinoamérica, para estar seguros de que la región esta protegida, más cuando hay países que tienen ciertos acuerdos de seguridad y defensa con Rusia y China”, expresó Ruiz.
La colaboración, comunicación y cooperación entre países, organizaciones y empresas, se debe fortalecer para hacer frente a los ataques chinos, rusos o de cualquier otro grupo de piratas informáticos. “Los cibercriminales si lo están haciendo”, dijo Ruiz. “Debemos trabajar en una cultura de ciberseguridad mucho más fuerte”, concluyó.