El gobierno de USA emitió el lunes 19/07 una alerta acusando a China de organizar un patrón de ataques que han involucrado extorsión y robo utilizando ransomware contra empresas privadas tales como Microsoft.
La Administración Biden respaldó su denuncia en sus aliados: Reino Unido, Australia, Canadá, Nueva Zelanda, Japón, UE y OTAN.
Es curioso que esos ataques utilizando virus informáticos llamados ransomware se habían atribuido a cibercriminales relacionados con Rusia. Inclusive Joe Biden llegó a advertir a Vladímir Putin de que no debía permitirse la impunidad a esos hackers.
De acuerdo a Financial Times, un funcionario estadounidense se dijo muy convencido de que Beijing estuvo detrás del ataque a la aplicación de correo electrónico Exchange, de Microsoft, en marzo, que afectó al menos a 30.000 organizaciones, incluidas empresas y gobiernos locales.
Los ataques cibernéticos han proliferado durante la pandemia de Covid-19 cuando los piratas informáticos explotaron las vulnerabilidades expuestas por los empleados que trabajaban de forma remota.
Los funcionarios estadounidenses dijeron que estaban "sorprendidos" al descubrir que personas afiliadas al MSS de China estaban detrás de un ataque de ransomware en el que los piratas informáticos exigieron millones de dólares a una empresa estadounidense no identificada.
La alerta del lunes fue la advertencia más severa de Washington de que Beijing era el culpable de la actividad cibernética maliciosa generalizada.
El mensaje no oficial sino a través de medios de comunicación cercanos a los intereses estadounidenses:
El Departamento de Justicia estadounidense acusó a 5 ciudadanos chinos en septiembre 2020 de piratear más de 100 empresas en todo el mundo como parte de un grupo respaldado por el estado conocido como APT41.
APT41 se ha dirigido directamente a organizaciones en al menos 14 países desde 2012. Sus intrusiones de delitos cibernéticos son más evidentes entre los objetivos de la industria de los videojuegos, incluida la manipulación de monedas virtuales y el intento de implementación de ransomware.
APT41 es un grupo de amenazas cibernéticas que lleva a cabo actividades de espionaje patrocinadas por el Estado chino, y actividades con motivaciones financieras que potencialmente están fuera del control estatal, utilizando al menos 46 familias de códigos y herramientas diferentes.
APT41 a menudo se basa en correos electrónicos de suplantación de identidad con archivos adjuntos como archivos HTML compilados (.chm) para comprometer inicialmente a sus víctimas. Una vez en una organización víctima, APT41 puede aprovechar TTP más sofisticados e implementar malware adicional. Por ejemplo, en una campaña que duró casi 1 año, APT41 comprometió cientos de sistemas y utilizó cerca de 150 piezas únicas de malware, incluidas puertas traseras, ladrones de credenciales, registradores de pulsaciones de teclas y rootkits. APT41 también ha implementado rootkits y kits de arranque Master Boot Record (MBR) de forma limitada para ocultar su malware y mantener la persistencia en determinados sistemas víctimas.
Los expertos dijeron que el grupo llevó a cabo sofisticadas campañas de espionaje, así como empresas criminales. En ese momento, los funcionarios del Departamento de Justicia acusaron a Beijing de permitir que los delincuentes cibernéticos operaran con impunidad si también ayudaban a las autoridades estatales.
A su vez, China fue atacada el verano pasado por agencias estadounidenses, incluido el FBI, que advirtió que Beijing y sus afiliados estaban intentando robar la investigación del coronavirus pirateando grupos de investigación, farmacéuticos y de atención médica.
Esto sucede días después que Facebook informó que había bloqueado una "sofisticada" campaña de ciberespionaje en línea realizada por piratas informáticos en Irán que intentaban vigilar a unos 200 militares, militares y militares occidentales, y personal aeroespacial a través de su plataforma.
Según Facebook, un grupo conocido de piratas informáticos iraníes conocido como Tortoiseshell creó personas en línea falsas, como empleados de defensa y reclutadores en su plataforma, para engañar a las víctimas para que hagan clic inadvertidamente en enlaces o archivos maliciosos que permitirían la vigilancia de sus dispositivos.
La ofensiva, que se ejecuta desde 2020, se dirigió a unas 200 personas de las industrias militar, de defensa y aeroespacial "principalmente en USA y, en menor medida, en el Reino Unido y Europa", dijo Facebook, que atribuyó los ataques al grupo Tortoiseshell, con sede en Teherán, según información con un "alto nivel de confianza".
Si bien Facebook no sugirió que la campaña estuviera respaldada por el Estado iraní, dijo que había descubierto que una parte del malware desplegado por los piratas informáticos fue desarrollado por Mahak Rayan Afraz, una empresa de TI en Teherán "con vínculos con el Cuerpo de la Guardia Revolucionaria Islámica".
Además de utilizar Facebook, Tortoiseshell creó sitios web falsos, incluidas versiones falsas de un sitio de búsqueda de empleo del Departamento de Trabajo de USA y sitios web de reclutamiento para empresas de defensa específicas. Estos permitieron a los piratas informáticos robar el correo electrónico de sus víctimas y los detalles de inicio de sesión de las redes sociales, y recopilar información sobre el uso de su dispositivo.
En otros casos, los piratas informáticos ocultaron malware en hojas de cálculo de Microsoft Excel, lo que les permitió acceder a los sistemas de las víctimas.
"Solo el nivel de inversión en las fases de reconocimiento e ingeniería social tiene todas las características del comportamiento persistente y con buenos recursos que esperamos de los actores de amenazas persistentes avanzadas más sofisticados que rastreamos", Mike Dvilyanski, director de cibernética de Facebook investigaciones de espionaje, dijo al Financial Times.
Facebook dijo que había eliminado casi 200 cuentas, bloqueando los dominios maliciosos para que no se compartan en su plataforma y notificar a las víctimas.
Muchas de las identidades falsas se habían desarrollado en las plataformas de redes sociales, agregó. LinkedIn dijo que había "restringido las cuentas responsables" de la actividad en su plataforma y estaba monitoreando la situación, mientras que Twitter dijo que la plataforma estaba "investigando activamente" el asunto.
Microsoft dijo que estaba "rastreando a este actor de amenazas". Google dijo que había agregado los dominios maliciosos utilizados por los piratas informáticos a su "lista de bloqueo".