Según investigadores, un grupo de piratas informáticos vinculado al gobierno chino que se pensó que estaba inactivo ha estado atacando silenciosamente a empresas y agencias gubernamentales durante los últimos dos años, recopilando datos después de robar contraseñas y eludiendo la rigurosa autenticación de dos factores para prevenir dichos ataques.
Fox-IT, una compañía de seguridad con sede en Países Bajos, dijo en un informe publicado el jueves que los ataques del grupo se han extendido a 10 países, incluidos Estados Unidos, Reino Unido, Francia, Alemania e Italia.
Los hackers chinos llevaron a cabo una campaña de espionaje global dirigida a industrias como la aviación, construcción, finanzas, atención médica, seguros, juegos de azar y energía, dijo la empresa.
Los ataques del grupo se han extendido a 10 países, incluidos Estados Unidos, Reino Unido, Francia, Alemania e Italia
Los piratas informáticos probablemente pertenezcan a un grupo conocido como APT20, según los investigadores, quienes dijeron que tenían “un alto grado de certeza en que el responsable es un grupo chino y que probablemente están trabajando para apoyar los intereses del gobierno de China”.
Entre 2009 y 2014, APT20 —también conocido como Violin Panda y th3bug— se asoció con campañas de piratería dirigidas a universidades, militares, empresas de atención médica y telecomunicaciones. El grupo estuvo en silencio durante varios años, pero resurgió recientemente, según Fox-IT.
Rastro digital
“Mucha gente pensó que este grupo desapareció o ya no existía”, dijo Frank Groenewegen, experto jefe de seguridad de Fox-IT. “Sin embargo, descubrimos es que este grupo nuevamente ha estado operando a nivel internacional y hackeando muchas compañías”.
Un representante del gobierno chino no devolvió un mensaje en busca de comentarios.
Fox-IT descubrió la oleada de piratería del grupo en el verano de 2018, mientras realizaba un análisis de los sistemas informáticos que se habían visto comprometidos, dijo Groenewegen. Desde el hallazgo inicial, los investigadores de Fox-IT pudieron seguir un rastro digital que los ayudó a descubrir docenas de ataques similares que aparentemente fueron perpetrados por el mismo grupo. Los ataques también se realizaron en Brasil, México, Portugal y España, según Fox-IT.
Mucha gente pensó que este grupo desapareció o ya no existía, dijo Frank Groenewegen
También hubo al menos un objetivo dentro de China, una compañía de semiconductores, según Groenewegen, quien declinó nombrar las compañías y organizaciones atacadas. Fox-IT está trabajando con algunas de esas empresas para limpiar sus sistemas, dijo, y ha notificado a las demás.
Los hackers generalmente obtendrían acceso a los sistemas de una organización al aprovechar una vulnerabilidad en los servidores web que operaba la empresa o la agencia gubernamental. Luego se infiltrarían aún más para identificar a las personas —generalmente administradores de sistemas— con acceso privilegiado a las partes más sensibles de la red informática, según el informe de Fox-IT.
Rienda suelta
Los piratas informáticos instalan el software keylogger en los computadores de los administradores del sistema para registrar las pulsaciones de teclas y mostrar contraseñas. El grupo también pudo, al menos en un caso, comprometer un sistema de autenticación de dos factores RSA SecurID, al replicar sus códigos, diseñados para contrarrestar a los hackers al proporcionar una capa adicional de seguridad además de una contraseña, según Fox-IT.
RSA Security no respondió a un mensaje en busca de comentarios.
Los piratas informáticos fueron eficaces para encubrir sus huellas, según Fox-IT. Rutinariamente eliminarían las herramientas que usaron para robar datos de computadores infectados. No obstante, ocasionalmente cometían errores. Fox-IT colocó la tecnología de monitoreo dentro de la red de una víctima y pudo recopilar datos que muestran que los piratas informáticos usaban un navegador web que tenía su idioma configurado en chino.
Con la ayuda de un organismo encargado del orden público, Fox-IT rastreó las actividades de los hackers hasta un servidor web que el grupo había comprado como plataforma para sus ataques. Los piratas informáticos habían pagado en bitcóins y entregado detalles falsos, un número de teléfono británico y una dirección estadounidense en Lafayette, Luisiana. Pero habían escrito parte de la dirección en chino simplificado.
Los piratas informáticos habían pagado en bitcóins y entregado detalles falsos
También estaba la cuestión del tiempo. Los expertos en seguridad de Fox-IT se mantuvieron despiertos toda la noche por los hackers, que se activaron cerca de las 3 a.m. en Países Bajos y continuaron durante ocho a 10 horas. Esto sugiere que estaban operando en la zona horaria de China, que está a siete horas de anticipación de Países Bajos.
Quizás el indicador más llamativo se produjo después de que los piratas informáticos descubrieron que habían sido atrapados. Fox-IT trabajó para expulsarlos de una red comprometida y observó cómo el grupo tecleaba una serie de comandos para intentar recuperar el acceso a los computadores.
Cuando quedó claro que habían sido bloqueados, uno de los hackers, aparentemente frustrado, utilizó la palabra “wocao” en su teclado. Dicho vocablo, en jerga china, es una grosería, según Fox-IT.