Al extraer muchas muestras de caballos de Troya de terminales de Internet de la Universidad Politécnica del Noroeste, con el apoyo de socios europeos y del sur de Asia, el equipo técnico anunció el 5 de septiembre que identificaron inicialmente que el ciberataque fue realizado por Tailored Access Operations (TAO) (Código S32) bajo la Oficina de Reconocimiento de Datos (Código S3) del Departamento de Información (Código S) de la NSA de EE.UU.
Un análisis más profundorealizado por el Centro Nacional de Respuesta a Emergencias de Virus Informáticos de China y el laboratorio Qi An Pangu con sede en Beijing mostró que un arma de rastreo cibernético, conocida como "beber té", es uno de los culpables más directos del robo de grandes cantidades de datos confidenciales.
La Agencia de Seguridad Nacional de Estados Unidos (NSA), en los últimos años llevó a cabo más de 10.000 ataques cibernéticos contra China y se sospecha que ha robado 140 gigabytes de datos relevantes, aseguró un informe de investigación conjunta publicado este lunes por el Centro Nacional de Respuesta a Emergencias de Virus Informáticos de China (CVERC) y la compañía de seguridad de Internet Qihoo 360 Technology.
De acuerdo a la información de GT, “Beber té" no solo puede robar cuentas y contraseñas para la transferencia remota de archivos, sino que también es muy capaz de ocultarse y adaptarse a un nuevo entorno. Después de implantarse en el servidor y el equipo de destino, "beber té" se disfrazará como un proceso normal de servicio en segundo plano y enviará cargas maliciosas etapa por etapa, lo que hará que sea muy difícil de encontrar.
La fuente no revelada le dijo al Global Times que una mayor investigación del caso descubrió a 13 atacantes, lo que demostró que el TAO (Acceso de Operaciones) ha estado controlando en secreto el servidor de gestión de operaciones y mantenimiento de la universidad durante mucho tiempo. Al mismo tiempo, el TAO reemplazó los archivos originales del sistema y borró los registros del sistema para eliminar los rastros y evitar el rastreo.
De acuerdo con las características del ataque de TAO, como enlaces encubiertos, herramientas de infiltración y muestras de caballos de Troya, los expertos chinos en ciberseguridad descubrieron que TAO se infiltró y controló la red de datos central de los operadores de infraestructura chinos.
Además, el TAO ingresó a la red de operadores de infraestructura de China con una identidad "legal" a través de la cuenta y la contraseña del firewall Cisco PIX, el firewall Tianrongxin y otros dispositivos. Al controlar el sistema de monitoreo y los servidores de mensajes de los operadores de infraestructura, TAO podría acceder a la información de los chinos con identidades confidenciales y luego empaquetar y cifrar su información y enviarla de vuelta a la sede de la NSA a través de trampolines de varios niveles.
Confiando en sus fuertes ventajas tecnológicas, EE. UU. lanzó los ataques contra la universidad en sus días laborales, lo cual fue sin escrúpulos y descarado, dijo la fuente al Global Times.
Según un análisis de big data de ciberataques relacionados, el 98 % de los ataques se realizaron entre las 9 p. m. y las 4 a. m. (hora de Beijing), lo que corresponde a las 9 a. m. y las 4 p. m. (hora del este).
Durante la investigación no se detectó ningún ataque cibernético los sábados y domingos (hora de EE. UU.) ni en los principales feriados estadounidenses.
Más contenidos en Urgente24
El atentado y la grieta, un mes después: 4 especialistas opinan
Furor por el truco para ver TV, series y películas gratis
Marcelo Longobardi enterró a Radio Mitre y denunció maltrato
Crisis en Rusia: Gran enojo con Moscú de Ramzan Kadyrov
Encuesta: Milei vuelve a su mejor momento electoral
