Este martes, China publicó un nuevo informe de investigación que aporta más pruebas que demuestran que la Agencia de Seguridad Nacional (NSA por sus siglas en inglés) de Estados Unidos, se encuentra detrás de “miles de ataques cibernéticos” (ciberataques) efectuados en contra de la Universidad Politécnica del Noroeste de China.
Con el apoyo técnico de varios países europeos y del sudeste de Asia, expertos de China pudieron rastrear las características técnicas, las armas de ataque y hasta las rutas utilizadas en los ciberataques contra la universidad china.
El Centro Nacional de Respuesta a Emergencias de Virus Informáticos (CVERC por sus siglas en inglés) de China, trabajó en el informe en colaboración con la empresa de seguridad en internet Qihoo 360.
Descubrieron que esos ciberataques se originaron en la Oficina de Operaciones de Acceso Personalizado (TAO por sus siglas en inglés), afiliada a la NSA (Agencia de Seguridad Nacional). Según el informe, sus propias lagunas técnicas y errores operativos quedaron expuestos durante los ataque.
Cabe señalar que en una investigación anterior, China descubrió que TAO utilizó 41 tipos de armas cibernéticas en los ciberataques contra la universidad . El análisis técnico demuestra los vínculos con TAO, ya que el tiempo de trabajo, el idioma y los hábitos de comportamiento de los atacantes cibernéticos, así como los fallos operativos, coinciden con los de esta entidad.
国家计算机病毒应急处理中心CVERC:美国国家安全局(NSA)特定入侵行动办公室(TAO)利用“酸狐狸”漏洞攻击武器平台(FoxAcid)对他国开展网络间谍行动。
— 外汇交易员 (@myfxtrader) June 29, 2022
CVERC预警,全球范围内的政府机构、科研机构和商业企业,都可能正在被酸狐狸平台远程控制。https://t.co/cVtaCItzdc pic.twitter.com/OAm3XvMLg1
Agencia de Seguridad Nacional de Estados Unidos lanza ataques contra la universidad de China
El informe confirma que la Agencia de Seguridad Nacional (NSA) lanzó ataques semiautónomos contra la universidad. Bian Liang, experto en ciberseguridad de Qihoo 360, señala que: “Puede explorar las lagunas y propagar virus informáticos de forma masiva a equipos de red o a una sección de direcciones IP, y luego obtener acceso -a nuestra base de datos-. Esta parte de la operación se puede automatizar. Más tarde, puede estar al acecho, obtener el control a largo plazo de la base de datos y los documentos específicos. Este proceso necesita de la intervención humana para decidir qué documentos específicos se quieren robar y qué se quiere destruir después de finalizar la operación. Así que toda la operación es semiautomática”.
El informe de China también detalla el proceso de infiltración de TAO en la red interna de la universidad china. La oficina primero usó “FoxAcid”, una plataforma de ataque de intermediario, para piratear la computadora y los servidores internos de la universidad, y luego obtuvo el control de varios servidores clave con armas de control remoto.
Du Zhenhua, ingeniero senior del Centro Nacional de Respuesta a Emergencias de Virus Informáticos de China, señala que: “Después de acceder a los servidores internos, secuestró el flujo de datos. Mediante el uso de la plataforma de ataque de intermediario, logró colocar armas cibernéticas dentro de los dispositivos anfitriones o servidores de la red interna de la universidad. Estas armas, especialmente las armas de control a largo plazo, le dieron acceso a la red interna de la universidad. Con el acceso, puede explorar la red interna y encontrar los servidores de alto valor y las computadoras anfitrionas. Al tomar el control de estos servidores de alto valor, puede implementar la detección y el espionaje”.
Dicho informe muestra que TAO robó información confidencial , como contraseñas, registros de operación y registros del sistema de los servidores de operación y mantenimiento de la Universidad Politécnica del Noroeste de China.
Chinese reports uncover details of cyber attacks by U.S. security agencyhttps://t.co/nISuGZgpBy
— cverc (@cverc_cn) September 17, 2022
Bian Liang, experto en ciberseguridad de Qihoo 360:
Después de tomar el control de -los equipos pertinentes- en la NPU, usó la universidad como un disfraz para atacar a más entidades. Es como si tuviéramos un sistema de reconocimiento facial en nuestra base de datos como mecanismo de protección. Si es un estadounidense, el sistema de reconocimiento facial puede reconocer la identidad y negar la entrada. Pero TAO tomó el control de la NPU y se puso el disfraz de NPU, nuestro sistema lo vería como un usuario normal y le dio acceso a la base de datos. De hecho, los servidores implicados estaban controlados por TAO y podían atacar a otros con el acceso otorgado.
Los ciberataques se dieron ocultándose en los servidores de operación y mantenimiento de la universidad, la Oficina de Operaciones de Acceso Personalizado (TAO), robó varios archivos de configuración clave de equipos de red, que se utilizaron para monitorear “válidamente” un lote de equipos de red y usuarios de internet.
El equipo de investigación chino también descubrió que TAO capturó información personal de algunos individuos con identidad confidencial en la parte continental de China, y que la información se envió de regreso a la sede de la Agencia de Seguridad Nacional de Estados Unidos (EU), a través de múltiples servidores de salto.
El informe también agrega que se han descubierto las verdaderas identidades de 13 atacantes y perpetradores de los ciberataques.
The CVERC-Qihoo 360 report said the U.S. National Security Agency @NSAGov conducted over 10,000 #cyberattacks against China in recent years and is suspected to have stolen 140 GB of valuable data.https://t.co/qvZJTGFoEJ pic.twitter.com/giLXZcnd9d
— Beijing Review (@BeijingReview) September 27, 2022