El martillo cae sobre los piratas informáticos acusados ​​de apuntar a los fabricantes de juegos y software

Un gran sello de un edificio de oficinas blanco de estilo Renacimiento clásico está flanqueado por banderas.
Agrandar / El sello del Departamento de Justicia como se vio durante una conferencia de prensa en diciembre de 2019.

Durante más de una década, los piratas informáticos que trabajan en nombre del gobierno chino han perseguido descaradamente intrusiones cibernéticas avanzadas en empresas de tecnología, con un enfoque particular en aquellos que comercializan software, como CCleaner, juegos de roly otros tipos de juegos. El miércoles, las autoridades estadounidenses respondieron acusando a siete hombres supuestamente respaldados por el gobierno chino por llevar a cabo una serie de ataques por motivos financieros a más de 100 organizaciones estadounidenses y extranjeras.

Los fiscales estadounidenses dijeron que los hombres apuntaron a empresas de tecnología con el objetivo de robar certificados de firma de software, datos de cuentas de clientes e información comercial valiosa, todo con la aprobación tácita del gobierno chino. Trabajando para compañías fachada ubicadas en China, los acusados ​​supuestamente utilizaron las intrusiones en los fabricantes de juegos y software para lavado de dinero, robo de identidad, fraude electrónico y de dispositivos de acceso, y para facilitar otros esquemas criminales, como ransomware y esquemas de criptojacking.

Protección legal

De acuerdo a una de las tres acusaciones revelado el miércoles, el acusado Jiang Lizhi se jactó de sus conexiones con el Ministerio de Seguridad del Estado de China y afirmó que le proporcionaba protección legal «a menos que suceda algo muy importante». El socio comercial de Jiang, Qian Chuan, supuestamente pasó los últimos 10 años apoyando proyectos del gobierno chino, incluido el desarrollo de una herramienta de limpieza segura para borrar datos confidenciales de los medios digitales.

Junto con un tercer hombre, Fu Qiang, los hombres trabajaban y eran funcionarios de una empresa con sede en China llamada Chengdu 404 Network Technology Co. Ltd. La empresa se describió públicamente como una empresa de seguridad de red, compuesta por piratas informáticos de élite de sombrero blanco que proporcionó pruebas de penetración, recuperación de contraseñas, análisis forense de dispositivos móviles y otros servicios defensivos. El sitio web de Chengdu 404 dijo que los clientes incluyen «empresas de seguridad pública, militares y militares». La recepción de la empresa se muestra a continuación.

Departamento de Justicia

“Sin embargo, además de cualquier supuesto ‘sombrero blanco’ o servicios de seguridad de red defensiva que proporcionaba, Chengdu 404 también era responsable de operaciones de seguridad de red ‘ofensivas’”, escribieron los fiscales. “Es decir, los empleados y funcionarios de Chengdu 404, incluidos Jiang, Qian y Fu, cometieron y conspiraron para cometer delitos de intrusión informática criminal dirigidos a redes informáticas de todo el mundo, incluidas, y como se describe más adelante, más de 100 empresas y organizaciones víctimas y particulares en Estados Unidos y en todo el mundo, incluidos Corea del Sur, Japón, India, Taiwán, Hong Kong, Malasia, Vietnam, Pakistán, Australia, Reino Unido, Chile, Indonesia, Singapur y Tailandia «.

Otros dos hombres, Zhang Haoran, de 35 años, y Tan Dailin, de 35, presuntamente participaron en una “conspiración de piratería informática” que apuntaba a empresas de tecnología en un plan para lavar dinero, robar identidades y cometer fraude electrónico. Los fiscales dijeron en un segunda acusación que los hombres participaron en una “conspiración de videojuegos” con el propósito de piratear compañías de videojuegos y obtener moneda del juego u otros datos de valor y venderlos con ganancias. Los hombres también usaron estos ataques para perseguir intrusiones cibernéticas en objetivos no relacionados, según la acusación.

Ladrones y espías se unen

Los cinco acusados, junto con dos ciudadanos malasios, Wong Ong Hua, de 46 años, y Ling Yang Ching, de 32, nombrados en un tercera acusación—Fueron rastreados utilizando datos de investigación sobre APT41, abreviatura de la amenaza persistente avanzada núm. 41. El grupo, que según los investigadores tiene vínculos estrechos con los programas de espionaje del gobierno chino, se conoce con muchos otros nombres, incluidos Winnti, Barium, Wicked Panda y Wicked Araña.

Al analizar los servidores de comando, las herramientas de ataque y otros datos que pertenecen al grupo, los investigadores han determinado que estaba detrás de una serie de violaciones de alto perfil, incluidos los ataques a la cadena de suministro de 2017 y 2019 en CCleaner y Asus que sembró sus actualizaciones con malware. A principios de este año, dijo la firma de seguridad Eset, el grupo estaba detrás de hackeos en múltiples creadores de juegos. Si bien los investigadores de la compañía no identificaron los objetivos, dijeron que los ataques utilizaron certificados de firma robados de Nfinity Games durante un ataque de 2018 a ese desarrollador de juegos.

Las acusaciones del miércoles ilustran el doble papel que desempeñan algunos piratas informáticos que trabajan en cooperación con el gobierno chino o en su nombre. A cambio de que los piratas informáticos proporcionen al gobierno datos de espionaje que ayuden a rastrear a disidentes u organizaciones de interés o robar propiedad intelectual, el gobierno acepta hacer la vista gorda ante los ataques motivados por el dinero contra empresas no afiliadas a los intereses nacionales chinos. La firma de seguridad Mandiant, que ha seguido de cerca a APT41 durante años, publicó este informe detallado el año pasado.

En un correo electrónico enviado el miércoles, el director senior de análisis de Mandiant, John Hultquist, resumió la relación de esta manera:

APT41 ha estado involucrado en varios incidentes de la cadena de suministro de alto perfil que a menudo mezclaban su interés criminal en los videojuegos con las operaciones de espionaje que estaban llevando a cabo en nombre del estado. Por ejemplo, comprometieron a los distribuidores de videojuegos para que proliferaran malware que luego podría usarse para operaciones de seguimiento. También se han relacionado con incidentes conocidos relacionados con actualizaciones de Netsarang y ASUS.

En los últimos años se han centrado fuertemente en los sectores de telecomunicaciones, viajes y hotelería, que creemos son intentos de identificar, monitorear y rastrear a personas de interés, operaciones que podrían tener consecuencias graves, incluso físicas, para algunas víctimas. También han participado en los esfuerzos para monitorear Hong Kong durante las recientes protestas por la democracia.

Aunque gran parte del robo de propiedad intelectual relacionado con este actor ha disminuido a favor de otras operaciones en los últimos años, han continuado apuntando a las instituciones médicas, lo que sugiere que todavía pueden tener interés en la tecnología médica.

Los servicios de inteligencia aprovechan a criminales como APT41 para sus propios fines porque son una capacidad conveniente, rentable y negable. Las operaciones criminales de APT41 parecen ser anteriores al trabajo que realizan en nombre del estado y pueden haber sido cooptadas por un servicio de seguridad que tendría una influencia significativa sobre ellas. En situaciones como esta, se puede llegar a un acuerdo entre el servicio de seguridad y los operadores en el que los operadores disfrutan de protección a cambio de ofrecer talento de alto nivel al servicio. Además, el servicio disfruta de una medida de negación cuando se identifica a los operadores. Podría decirse que ese es el caso en este momento.

El martillo cae

Wong y Ling fueron arrestados el lunes. No es probable que los demás acusados ​​sean detenidos mientras permanezcan en China u otros países que no tengan tratados de extradición con Estados Unidos. Aún así, las órdenes de arresto significan que no pueden viajar por todo el mundo sin correr el riesgo de ser detenidos y juzgados por sus presuntos delitos.

Además de los arrestos y órdenes de arresto, el gobierno federal confiscó este mes cientos de cuentas, servidores, nombres de dominio y páginas web con trampas explosivas que los acusados ​​presuntamente utilizaron para realizar sus intrusiones. Microsoft jugó un papel importante en la eliminación de las operaciones mediante la implementación de medidas técnicas que les impidieron acceder a las computadoras de las víctimas. Varias otras empresas que no fueron identificadas también brindaron asistencia al deshabilitar las cuentas controladas por atacantes por violaciones de sus términos de servicio.

Dos de los sellos distintivos de APT41 son sus habilidades organizativas y la capacidad de utilizar eficazmente las vulnerabilidades de software para obtener acceso no autorizado a redes específicas. La capacidad de robar certificados de firma de una víctima y usarlos para atacar nuevos objetivos es un ejemplo del primero. Su talento en el uso de hazañas nace de la amplitud de las hazañas que los fiscales presentaron en las acusaciones del miércoles. Seis de ellos, indexados como CVE-2019-19781, CVE-2019-11510, CVE-2019-16920, CVE-2019-16278, CVE-2019-1652y CVE-2019-10189—Se dirigió a un conjunto diverso de productos, desde redes VPN hasta software de servidor web y dispositivos de Internet de las cosas. Muchos de estos dispositivos permanecen sin parches semanas o incluso meses después de que las actualizaciones estén disponibles.

¿Mencionamos Irán?

La apertura de las acusaciones se produjo un día después de que los fiscales federales presentaran una acusación formal contra dos ciudadanos iraníes también acusados ​​de piratear redes estadounidenses y robar datos a ambos. Beneficiar financieramente y apoyar al gobierno iraní.. Esa acción se produjo casi al mismo tiempo que los fiscales revelaron una acusación formal que acusaba a dos rusos de participar en una Frenesí de phishing de criptomonedas de $ 17 millones.

Los miembros de las industrias de seguridad y aplicación de la ley continúan debatiendo cuán importantes son las medidas como la del miércoles, contra los presuntos piratas informáticos APT41. No es probable que los acusados ​​que permanecen prófugos reduzcan sus supuestas operaciones, y es probable que APT41 no necesite mucho tiempo para reconstruir la infraestructura que fue derribada. A través de ese prisma, es fácil ver el movimiento como poco más que un juego de whack-a-mole.

El contraargumento es que la aplicación de la ley y los sectores privados están mejorando en los ataques coordinados que interrumpen significativamente las operaciones, aunque solo sea temporalmente. Además de la interrupción, la acción también llama la atención de los funcionarios del gobierno chino y envía el mensaje de que la impunidad de la que disfrutan los piratas informáticos patrocinados por China no es absoluta.

Deja un comentario

Cart
Your cart is currently empty.