Estados Unidos acusa a hacker chinos de intento de robo de investigaciones sobre COVID-19
El Departamento de Justicia de los Estados Unidos (DoJ) reveló ayer cargos contra dos ciudadanos chinos. Los acusa por su presunta participación en una ola de ataques dirigida a disidentes, agencias gubernamentales y cientos de organizaciones en hasta 11 países.
La acusación de 11 cargos, que fue revelada el martes, alega que LI Xiaoyu (李啸宇) y DONG Jiazhi (董家 志) robaron terabytes de datos confidenciales. Robaron datos incluso de compañías que desarrollan vacunas COVID-19, pruebas de tecnología y tratamientos. Esto mientras operan para fines financieros privados y obtienen ganancia. Según las acusaciones lo hacen en representación del Ministerio de Seguridad de China.
“China ahora ha tomado su lugar, junto con Rusia, Irán y Corea del Norte. Han formado un vergonzoso club de naciones que proporciona un refugio seguro para los ciberdelincuentes. El refugio es a cambio de que esos delincuentes estén ‘de guardia’ para trabajar en beneficio del estado. El objetivo es la propiedad intelectual ganada con esfuerzo por las compañías estadounidenses y no chinas, incluida la investigación de COVID-19″.
El párrafo anterior son declaraciones del fiscal general adjunto John C. Demers, quien dirige la División de Seguridad Nacional del Departamento de Justicia.
Los señalados
La pareja, actualmente buscada por la Oficina Federal de Investigaciones de Estados Unidos pasó desapercibida en diferentes ataques. Los hackers comprometieron una red del Departamento de Energía de Estados Unidos en Hanford. El sitio alberga un complejo de producción nuclear desmantelado ubicado en el estado de Washington.
Además de este incidente, los señalados han sido acusadas de infiltrarse en las redes de empresas que abarcan sectores de fabricación de alta tecnología. También apuntaron a sectores de ingeniería industrial, defensa, educación, software de juegos y farmacéuticos con el objetivo de robar secretos comerciales y otra información similar.
Además de Estados Unidos, varias organizaciones víctimas tienen su sede en Australia, Bélgica, Alemania, Japón y Lituania. También se reportan afectados en los Países Bajos, España, Corea del Sur, Suecia y el Reino Unido.
En total, los ataques cibernéticos dirigidos duraron más de diez años. Las operaciones comenzaron alrededor del 1 de septiembre de 2009 y continuaron hasta el 7 de julio de 2020, según el Departamento de Justicia.
Explotación de vulnerabilidades no parcheadas en aplicaciones web
Según la acusación, los hackers lograron un punto de apoyo inicial para las empresas explotando configuraciones predeterminadas inseguras. También se aprovecharon de fallas de seguridad recientemente reveladas en software popular que aún no se habían parcheado.
Luego, los dos sospechosos instalaron un software de robo de credenciales para obtener un acceso más profundo. Asimismo, utilizaron shells web para ejecutar programas maliciosos y transferir los datos en forma de archivos RAR comprimidos. No obstante, antes de hacerlo cambiaron sus extensiones a “.JPG” para enmascarar el proceso de exfiltración en forma de imágenes inocuas.
Los datos robados, que llegaron a cientos de gigabytes, consistían en código fuente e información sobre medicamentos en desarrollo activo. También robaron diseños de armas e información de identificación personal.
Además, todas las actividades maliciosas se realizaron en la Papelera de reciclaje de los sistemas Windows específicos. La utilizaron para cargar los ejecutables en carpetas específicas y guardar los archivos RAR.
“Al menos en un caso, los hackers intentaron extorsionar una entidad, amenazando con liberar el código fuente robado de la víctima en Internet”. Más recientemente, los acusados investigaron las vulnerabilidades en las redes de computadoras de compañías que desarrollan vacunas contra el COVID-19, tecnología de prueba y tratamientos”.
No es solo China
La noticia es aún más significativa ya que se produce solo unos meses después de un evento similar. Hace unos días FBI y Seguridad Nacional advirtieron que China estaba tratando activamente de robar datos de organizaciones que trabajan en la investigación de COVID-19. El incidente se da en medio de crecientes tensiones entre Estados Unidos y China sobre las preocupaciones de seguridad nacional.
Pero China no es la única nación que ha sido acusada de usar sus capacidades cibernéticas ofensivas para robar la investigación del coronavirus.
En mayo, hackers respaldados por Irán supuestamente atacaron a la compañía farmacéutica Gilead. La empresa produce el fármaco antiviral remdesivir que ha demostrado desencadenar una respuesta inmune en pacientes infectados con COVID-19.
Posteriormente, la semana pasada, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido alegó incidentes similares. Los británicos acusaron a hackers ligados servicios de inteligencia rusos (APT29 o CozyBear) de atacar a compañías que investigaban una vacuna contra el coronavirus.
Según las afirmaciones han atacado Reino Unido y Canadá sin especificar qué organizaciones habían sido atacadas o si se había robado información. Rusia ha negado las acusaciones.
Li y Dong están acusados de robo de identidad, conspiración para cometer fraude electrónico y robo de secretos comerciales. También de la violación de las leyes contra hacking, que en conjunto conllevan una sentencia máxima de más de 40 años.