Los ciberespías chinos ‘se hicieron pasar por iraníes mientras apuntaban a israelíes


Según los investigadores de inteligencia de amenazas, los intentos de los piratas informáticos de ocultar su origen fueron más probablemente un esfuerzo por ralentizar los esfuerzos de respuesta que en realidad enmarcar a Irán.

Un grupo de ciberespionaje de China se hizo pasar por piratas informáticos iraníes mientras entraba y espiaba a las instituciones gubernamentales israelíes, según un nuevo informe de investigadores de seguridad.

El informe de la compañía de seguridad FireEye, que desenmascaró al grupo junto con las agencias de defensa israelíes, dice que no hay pruebas suficientes para vincular al grupo de espionaje con el estado chino.

Sin embargo, los analistas de amenazas de la compañía confían en que el grupo de espionaje es chino y que sus objetivos “son de gran interés para los objetivos financieros, diplomáticos y estratégicos de Beijing”.

El intento de los piratas informáticos de ocultar su nacionalidad fue “un poco inusual”, según Jens Monrad, quien dirige el trabajo de la división de inteligencia de amenazas de FireEye, Mandiant, en EMEA.

“Históricamente hemos visto algunos intentos de falsa bandera. Vimos uno durante los Juegos Olímpicos en Corea del Sur”, dijo a Sky News, refiriéndose a los piratas informáticos rusos que pretendían ser chinos y norcoreanos.

“Puede haber varias razones por las que un actor de amenazas quiere hacer una bandera falsa; obviamente, hace que el análisis sea un poco más complejo”, dijo Monrad a Sky News.

El informe se centró en el ciberespionaje dirigido a instituciones gubernamentales israelíes, proveedores de TI y entidades de telecomunicaciones, pero el grupo también había intentado piratear redes informáticas en los Emiratos Árabes Unidos y en otros lugares.

Monrad dijo que el intento de ocultar la identidad de los piratas informáticos “no fue muy inteligente”, pero retrasó el análisis de estos incidentes por parte de la compañía, que agregó que podría haber sido el objetivo.

El grupo chino intentó usar farsi en las partes del código que los equipos de respuesta a incidentes podrían recuperar, y también usó herramientas de piratería asociadas con grupos iraníes que se habían filtrado anteriormente en línea.

Sin embargo, los analistas lingüísticos de FireEye dijeron que los términos elegidos por el grupo no habrían sido utilizados por hablantes nativos de farsi.

“El uso de cadenas en farsi, rutas de archivo que contienen / Irán / y shells web asociados públicamente con APT iraní [Advanced Persistent Threat] los grupos pueden haber tenido la intención de engañar a los analistas y sugerir una atribución a Irán “, dijo el informe.

FireEye dijo que aunque este grupo y el conocido grupo patrocinado por el estado designado APT 27 tenían algunas superposiciones, particularmente en sus objetivos, la compañía solo podía tener poca confianza en vincularlos.

El gobierno iraní acusó a APT 27 de piratear sus redes en 2019.

Aunque el informe se publicó esta semana, las actividades de piratería preceden a una advertencia en julio del presidente Joe Biden sobre la creciente probabilidad de que Estados Unidos acabe en “una verdadera guerra de disparos con una gran potencia” como resultado de un ciberataque.

Hablando con Sky News anteriormente, después de que el entonces secretario de defensa británico Gavin Williamson afirmara que Moscú podría causar “miles y miles y miles” de muertes en el Reino Unido con un ciberataque, Monrad advirtió que las respuestas militares a un ataque de este tipo requerirían una “muy alta certeza de atribución “.

El nuevo grupo, designado UNC 215, lo que significa que no está clasificado como un grupo patrocinado por el estado o uno que opera de manera independiente, también usó el idioma hindi y el árabe cuando apuntó a Uzbekistán.

El informe de FireEye declaró: “Esta actividad de ciberespionaje está ocurriendo en el contexto de las inversiones multimillonarias de China relacionadas con la Iniciativa Belt and Road (BRI) y su interés en el robusto sector tecnológico de Israel.

“China ha realizado numerosas campañas de intrusión a lo largo de la ruta BRI para monitorear posibles obstrucciones [including] política, económica y de seguridad “, dijo la compañía, y agregó que anticipa que China” continuará apuntando a los gobiernos y organizaciones involucradas en estos proyectos de infraestructura crítica “.

El informe sigue al Reino Unido y sus aliados que acusan a China de “sabotaje cibernético sistemático” luego de una operación de espionaje a principios de este año que también permitió a los delincuentes, potencialmente incluidos los que Beijing utilizó como contratistas, acceder a los servidores afectados.

En ese momento, el portavoz del Ministerio de Relaciones Exteriores de China, Zhao Lijian, dijo: “Estados Unidos se unió a sus aliados y lanzó una acusación injustificada contra China sobre ciberseguridad. Es puramente una difamación y represión por motivos políticos. China nunca aceptará esto”.

.



Source link