El Departamento de Justicia de Estados Unidos (DoJ) reveló el lunes acusaciones contra siete ciudadanos chinos por su participación en un grupo de piratería informática que tuvo como objetivo a críticos, periodistas, empresas y funcionarios políticos estadounidenses y extranjeros durante aproximadamente 14 años.
Los acusados incluyen a Ni Gaobin, Weng Ming, Cheng Feng, Peng Yaowen, Sun Xiaohui, Xiong Wang y Zhao Guangzong.
Los sospechosos de ciberespías han sido acusados de conspiración para cometer intrusiones informáticas y conspiración para cometer fraude electrónico en relación con un grupo de amenazas patrocinado por el estado al que se rastrea como APT31que también se conoce como Altaire, Madera de vid de bronce, Judgement Panda y Violet Typhoon (anteriormente Zirconium). El colectivo de hackers ha sido activo desde al menos 2010.
Específicamente, sus responsabilidades implican probar y explotar el malware utilizado para realizar las intrusiones, administrar la infraestructura de ataque y realizar vigilancia de entidades estadounidenses específicas, señalaron los fiscales federales, y agregaron que las campañas están diseñadas para promover el espionaje económico de China y los objetivos de inteligencia extranjera.
Se alega que tanto Gaobin como Guangzong están vinculados a Wuhan Xiaoruizhi Science and Technology Company, Limited (Wuhan XRZ), una empresa fachada que se cree que llevó a cabo varias operaciones cibernéticas maliciosas para el Ministerio de Seguridad del Estado (MSS).
La verdad de la intrusión, en un informe publicado en mayo de 2023, caracterizó a Wuhan XRZ como una «empresa de aspecto incompleto en Wuhan que busca mineros de vulnerabilidades y expertos en idiomas extranjeros».
Además de anunciar una recompensa de hasta 10 millones de dólares Para obtener información que pueda conducir a la identificación o el paradero de personas asociadas con APT31, el Reino Unido y los EE. UU. también han sanciones impuestas contra Gaobin, Guangzong y Wuhan XRZ por poner en peligro la seguridad nacional y atacar a parlamentarios de todo el mundo.
«Estas acusaciones abren el telón sobre la vasta operación ilegal de piratería informática de China que tuvo como objetivo datos confidenciales de funcionarios gubernamentales y electos de EE. UU., periodistas y académicos; información valiosa de empresas estadounidenses; y disidentes políticos en Estados Unidos y en el extranjero». fijado El fiscal federal Breon Peace.
«Su siniestro plan victimizó a miles de personas y entidades en todo el mundo y duró más de una década».
La extensa operación de piratería involucró a los acusados y otros miembros de APT31 enviando más de 10,000 correos electrónicos a objetivos de interés que venían con enlaces de seguimiento ocultos que filtraban la ubicación de las víctimas, las direcciones de protocolo de Internet (IP), los esquemas de red y los dispositivos utilizados para acceder. las cuentas de correo electrónico simplemente al abrir los mensajes.
Posteriormente, esta información permitió a los actores de amenazas realizar ataques más dirigidos y adaptados a personas específicas, incluso comprometiendo los enrutadores domésticos y otros dispositivos electrónicos de los destinatarios.
También se dice que los actores de la amenaza aprovecharon exploits de día cero para mantener el acceso persistente a las redes informáticas de las víctimas, lo que resultó en el robo confirmado y potencial de registros de llamadas telefónicas, cuentas de almacenamiento en la nube, correos electrónicos personales, planes económicos, propiedad intelectual y secretos comerciales. asociados con empresas estadounidenses.
Se ha descubierto además que otras campañas de phishing orquestadas por APT31 están dirigidas a funcionarios del gobierno estadounidense que trabajan en la Casa Blanca, en los Departamentos de Justicia, Comercio, Tesoro y Estado, así como a senadores, representantes y personal de campaña electoral de ambos partidos políticos.
Los ataques fueron facilitados por medio de malware personalizado como RAWDOOR, Trochilus, EvilOSX, DropDoor/DropCat y otros que establecían conexiones seguras con servidores controlados por el adversario para recibir y ejecutar comandos en las máquinas víctimas. También se utilizó una versión descifrada de Cobalt Strike Beacon para realizar actividades posteriores a la explotación.
Algunos de los sectores destacados a los que se dirige el grupo son la defensa, la tecnología de la información, las telecomunicaciones, la manufactura y el comercio, las finanzas, la consultoría y las industrias jurídica y de investigación. APT31 también destacó a disidentes de todo el mundo y a otras personas que se percibía que los apoyaban.
«APT31 es un conjunto de oficiales de inteligencia, piratas informáticos contratados y personal de apoyo patrocinados por el estado chino que llevan a cabo operaciones cibernéticas maliciosas en nombre del Departamento de Seguridad del Estado de Hubei (HSSD)», informó el Tesoro. dicho.
«En 2010, el HSSD estableció Wuhan XRZ como una empresa pantalla para llevar a cabo operaciones cibernéticas. Esta actividad cibernética maliciosa resultó en la vigilancia de políticos estadounidenses y extranjeros, expertos en política exterior, académicos, periodistas y activistas pro-democracia, así como también personas y empresas que operan en áreas de importancia nacional.»
«El ciberespionaje patrocinado por el Estado chino no es una amenaza nueva y la acusación revelada hoy por el Departamento de Justicia muestra la táctica completa de sus operaciones cibernéticas para avanzar en la agenda de la República Popular China (RPC). Si bien esta no es una amenaza nueva, el alcance del espionaje y las tácticas desplegadas son preocupantes», dijo Alex Rose, director de asociaciones gubernamentales de Secureworks Counter Threat Unit.
«Los chinos han desarrollado su modus operandi típico en los últimos años para evadir la detección y hacer más difícil atribuirles ciberataques específicos. Esto es parte de un esfuerzo estratégico más amplio que China puede ejecutar. Las habilidades, los recursos y las tácticas a disposición de la República Popular China los convierten en una amenaza alta y persistente para los gobiernos, empresas y organizaciones de todo el mundo».
Los cargos surgen después de que el gobierno del Reino Unido dedos puntiagudos en APT31 por «campañas cibernéticas maliciosas» dirigidas a la Comisión Electoral y a los políticos del país. La infracción de la Comisión Electoral provocó el acceso no autorizado a los datos electorales de 40 millones de personas.
El incidente fue revelado por el regulador en agosto de 2023, aunque hay evidencia de que los actores de amenazas accedieron a los sistemas dos años antes.
China, sin embargo, tiene rechazó las acusaciones, describiéndolas como «completamente inventadas» y equivalentes a «calumnias maliciosas». Un portavoz de la embajada china en Washington DC dijo Según BBC News, los países han «hecho acusaciones infundadas».
«El rastreo del origen de los ciberataques es muy complejo y delicado. Al investigar y determinar la naturaleza de los casos cibernéticos, es necesario disponer de pruebas adecuadas y objetivas, en lugar de difamar a otros países cuando los hechos no existen, y menos aún politizar las cuestiones de ciberseguridad», Portavoz del Ministerio de Asuntos Exteriores, Lin Jian dicho.
«Esperamos que las partes pertinentes dejen de difundir desinformación, adopten una actitud responsable y salvaguarden conjuntamente la paz y la seguridad en el ciberespacio. China se opone a las sanciones ilegales y unilaterales y salvaguardará firmemente sus derechos e intereses legítimos».