El Departamento de Justicia de EE. UU. (DoJ) ha presentado cargos contra cinco ciudadanos chinos y dos malasios en relación con ataques cibernéticos dirigidos a más de 100 organizaciones en todo el mundo.
Dos acusaciones fueron devueltas por un gran jurado federal en Washington DC en agosto de 2019 y agosto de 2020, acusando a cinco miembros del grupo APT41 de amenaza persistente avanzada (APT), también conocido como Barium, Winnti, Wicked Panda y Wicked Spider, de facilitar el robo. de código fuente, certificados de firma de software, datos de clientes y otra información comercial.
Los ataques se dirigieron a desarrolladores de software y fabricantes de hardware informático, empresas de telecomunicaciones, plataformas de redes sociales, empresas de videojuegos, organizaciones sin fines de lucro, universidades, centros de estudios y agencias gubernamentales, así como a miembros del movimiento pro democracia de Hong Kong. Se entiende que las agencias gubernamentales del Reino Unido fueron atacadas, pero no comprometidas con éxito, durante la campaña.
El Departamento de Justicia dijo que las intrusiones de APT41 también facilitaron otros esquemas delictivos, incluido el despliegue de ransomware contra sus objetivos y actividades ilícitas de criptominería. Los cargos en su contra incluyen conspiración, fraude electrónico, robo de identidad agravado, lavado de dinero y violaciones de la Ley de Abuso y Fraude Informático (CFAA).
«El Departamento de Justicia ha utilizado todas las herramientas disponibles para interrumpir las intrusiones informáticas ilegales y los ataques cibernéticos de estos ciudadanos chinos», dijo el fiscal general adjunto Jeffrey Rosen. «Lamentablemente, el Partido Comunista de China ha elegido un camino diferente para hacer de China un lugar seguro para los ciberdelincuentes siempre que ataquen computadoras fuera de China y roben propiedad intelectual útil para China».
Los conspiradores supuestamente emplearon «técnicas de piratería sofisticadas» para obtener acceso a sus objetivos, incluidos ataques a la cadena de suministro que comprometieron a los proveedores de software y ajustaron su código para facilitar las intrusiones en sus clientes, así como los «puntos muertos» de comando y control (C2), aparentemente páginas web legítimas creadas por los piratas informáticos, pero que en realidad eran instrucciones codificadas subrepticiamente para su malware.
También aprovecharon varias vulnerabilidades y exposiciones comunes (CVE) reveladas, incluida la infame vulnerabilidad Citrix CVE-2019-19781.
Una tercera acusación formal acusa a dos empresarios malasios de conspirar con dos de los piratas informáticos APT41 para beneficiarse de intrusiones dirigidas a la industria de los videojuegos. Fueron detenidos por las autoridades malasias el lunes 14 de septiembre y están a la espera de su extradición. Los cinco acusados restantes, uno de los cuales se dice que se jactó de sus vínculos con el gobierno chino, están prófugos en China.
«El anuncio de hoy demuestra las ramificaciones que enfrentan los piratas informáticos en China, pero también es un recordatorio para quienes continúan desplegando tácticas cibernéticas maliciosas de que utilizaremos todas las herramientas que tenemos para administrar justicia», dijo el subdirector del FBI, David Bowdich.
“Los arrestos en Malasia son el resultado directo de la asociación, la cooperación y la colaboración. A medida que la amenaza cibernética continúa evolucionando más de lo que cualquier agencia puede abordar, el FBI sigue comprometido a ser un socio indispensable para nuestros socios federales, internacionales y del sector privado para detener el crimen cibernético desenfrenado y responsabilizar a quienes llevan a cabo este tipo de acciones. «
John Hultquist, director senior de inteligencia de amenazas en Mandiant, que ha estado rastreando APT41 durante algún tiempo, dijo que el grupo era fácilmente el actor de amenazas chino más activo, conocido por su búsqueda simultánea de actividades de ciberespionaje aprobadas por el estado junto con empresas delictivas.
“Su actividad se remonta a 2012, cuando los miembros individuales de APT41 llevaron a cabo operaciones principalmente con motivaciones financieras centradas en la industria de los videojuegos antes de expandirse al espionaje tradicional, muy probablemente dirigido por el estado”, dijo. “La capacidad de APT41 para combinar con éxito sus operaciones criminales y de espionaje es notable.
“APT41 ha estado involucrado en varios incidentes de la cadena de suministro de alto perfil que a menudo mezclaban su interés criminal en los videojuegos con las operaciones de espionaje que estaban llevando a cabo en nombre del estado. Por ejemplo, comprometieron a los distribuidores de videojuegos para que proliferaran malware que luego podría usarse para operaciones de seguimiento. También se han relacionado con incidentes bien conocidos relacionados con actualizaciones de Netsarang y ASUS «.
Hultquist agregó: “En los últimos años, se han enfocado fuertemente en los sectores de telecomunicaciones, viajes y hotelería, que creemos son intentos de identificar, monitorear y rastrear a personas de interés, operaciones que podrían tener consecuencias graves, incluso físicas para algunas víctimas. También han participado en los esfuerzos para monitorear Hong Kong durante las recientes protestas por la democracia ”.
Mandiant cree que los servicios de inteligencia chinos se inclinan a utilizar APT41 para sus propios fines porque son «oportunos, rentables y negables». Dado que sus operaciones criminales parecen ser anteriores a sus operaciones de espionaje, es posible que el grupo esté siendo manipulado por un servicio de seguridad que tenga algún tipo de influencia sobre él.
Cyberazon Sam Curry dijo que era poco probable que alguna de las personas acusadas se enfrentara a la justicia, al menos no en Estados Unidos.
“Los chinos son una superpotencia cibernética y son responsables de miles de millones de dólares en robos de propiedad intelectual anualmente de miles de empresas”, dijo. “Las empresas y las agencias gubernamentales deben tomar en serio las acusaciones de hoy y prestar atención a la advertencia. Es imperativo que inviertan en mejorar las defensas de su red contra este tipo de actividades flagrantes y atroces relacionadas con el espionaje.
“Es fundamental que todas las empresas inviertan en servicios de búsqueda de amenazas que se implementan las 24 horas, como los guardias de seguridad para proteger la propiedad física. Los guardias de seguridad cibernética bien capacitados de hoy en día tienen las habilidades para detectar la actividad maliciosa de la red informática que pone fin a cantidades masivas de robo y pérdida de IP «.
Curry agregó que a pesar de que las actividades cibernéticas maliciosas vinculadas al gobierno chino son un secreto a voces, el liderazgo de China negará todo conocimiento y negará todo, lo que hace que este sea un momento de «ella dijo, Xi dijo» en términos de responsabilidad.