Red de espionaje informático conmovió a 103 países

Una investigación de ciberespionaje de 10 meses ha revelado que 1295 computadoras en 103 países y pertenecientes a instituciones internacionales han sido espiadas, y algunas pruebas circunstanciales sugieren que China puede ser culpable.

El informe de 53 páginas, publicado el domingo, proporciona algunas de las pruebas y detalles más convincentes de los esfuerzos de los piratas informáticos motivados por motivos políticos al plantear preguntas sobre sus vínculos con las operaciones de cyberspying sancionadas por el gobierno.

Describe una red que los investigadores llamaron GhostNet, que utiliza principalmente un programa de software malicioso llamado gh0st RAT (Herramienta de acceso remoto) para robar documentos confidenciales, controlar cámaras web y controlar completamente las computadoras infectadas.

[Más información: cómo eliminar malware de su PC con Windows]

"GhostNet representa una red de computadoras comprometidas residentes en ubicaciones políticas, económicas y mediáticas de alto valor repartidas por numerosos países en todo el mundo", señala el informe, escrito por analistas del Information Warfare Monitor, una investigación proyecto del Grupo SecDev, un grupo de expertos, y el Centro Munk para Estudios Internacionales de la Universidad de Toronto. "En el momento de redactar este documento, estas organizaciones casi nunca se dan cuenta de la situación comprometida en la que se encuentran".

Los analistas sí dijeron, sin embargo, que no tienen confirmación de que la información obtenida haya resultado valiosa para los hackers. o si se ha vendido comercialmente o se ha pasado como inteligencia.

Espiando desde 2004

La operación probablemente comenzó alrededor de 2004, el momento en que los investigadores de seguridad notaron que a muchas de estas instituciones se les enviaban mensajes falsos de correo electrónico con archivos ejecutables adjunto a ellos, de acuerdo con Mikko Hypponen, director de investigación antivirus en F-Secure. Hypponen, quien ha estado rastreando los ataques durante años, dice que las tácticas de GhostNet han evolucionado considerablemente desde esos primeros días. "Durante los últimos tres años y medio ha sido bastante avanzado y bastante técnico".

"Es realmente bueno ver reflejado este momento en este momento, porque ha estado sucediendo durante tanto tiempo y nadie ha estado prestando atención ", agregó.

Aunque la evidencia muestra que los servidores en China estaban recopilando algunos de los datos confidenciales, los analistas se mostraron cautelosos acerca de vincular el espionaje con el gobierno chino. Por el contrario, China tiene una quinta parte de los usuarios de Internet, que pueden incluir hackers que tienen objetivos que se alinean con posiciones políticas oficiales de China.

"Atribuir todo el malware chino a operaciones deliberadas o de inteligencia del estado chino es erróneo y engañoso, "el informe dijo.

Sin embargo, China ha realizado un esfuerzo conjunto desde la década de 1990 para utilizar el ciberespacio para la ventaja militar". El enfoque chino en las capacidades cibernéticas como parte de su estrategia de guerra nacional asimétrica implica el desarrollo deliberado de capacidades que eluden la superioridad estadounidense en comando y control de guerra ", dijo.

Tibet's Computers Breached

Un segundo informe, escrito por investigadores de la Universidad de Cambridge y publicado en conjunto con el periódico de la Universidad de Toronto, fue menos circunspecto, diciendo que los ataques contra la Oficina de Su Santidad el Dalai Lama (OHHDL) fue lanzada por "agentes del gobierno chino". El equipo de Cambridge tituló su informe, "The Snooping Dragon".

La investigación de los analistas comenzó después de que se les concedió acceso a computadoras pertenecientes al gobierno del Tíbet en el exilio, organizaciones no gubernamentales tibetanas y la oficina privada del Dalai Lama, que estaba preocupado sobre la filtración de información confidencial, según el informe.

Encontraron computadoras infectadas con software malicioso que permitía a piratas informáticos remotos robar información. Las computadoras se infectaron después de que los usuarios abrieran archivos adjuntos maliciosos o hacían clic en enlaces que llevaban a sitios web dañinos.

Los sitios web o archivos adjuntos maliciosos intentarían explotar las vulnerabilidades del software para tomar el control de la máquina. En un ejemplo, se envió un correo electrónico malicioso a una organización afiliada a Tibet con una dirección de retorno de "[email protected]" con un archivo adjunto de Microsoft Word infectado.

A medida que los analistas sondeaban la red, descubrieron que el los servidores que recolectan los datos no estaban seguros. Obtuvieron acceso a los paneles de control utilizados para monitorear las computadoras pirateadas en cuatro servidores.

Esos paneles de control revelaron listas de computadoras infectadas, que fueron mucho más allá del gobierno de Tíbet y las ONG. Tres de los cuatro servidores de control estaban ubicados en China, incluidos Hainan, Guangdong y Sichuan. Uno estaba en los EE. UU., Decía el informe. Cinco de los seis servidores de comando estaban en China, y el restante en Hong Kong.

El informe de la Universidad de Toronto clasificó cerca del 30 por ciento de las computadoras infectadas como objetivos de "alto valor". Esas máquinas pertenecen al Ministerio de Asuntos Exteriores de Bangladesh, Barbados, Bhután, Brunei, Indonesia, Irán, Letonia y Filipinas. También se infectaron computadoras pertenecientes a las embajadas de Chipre, Alemania, India, Indonesia, Malta, Pakistán, Portugal, Rumania, Corea del Sur, Taiwán y Tailandia.

Los grupos internacionales infectados incluyeron la secretaría de la ASEAN (Asociación de Naciones del Sudeste Asiático). SAARC (Asociación de Asia Meridional para la Cooperación Regional) y el Banco Asiático de Desarrollo; algunas organizaciones de noticias como el afiliado del Reino Unido de Associated Press; y una computadora no clasificada de la OTAN.

Enfoque en las necesidades de seguridad

La existencia de GhostNet resalta la necesidad de atención urgente a la seguridad de la información, escribieron los analistas. "Podemos suponer con seguridad que [GhostNet] no es ni el primero ni el único de su clase."

Los investigadores de Cambridge predicen que estos ataques altamente dirigidos se combinan con malware sofisticado, los llaman "malware social", será más frecuente en el futuro. "Es poco probable que el malware social siga siendo una herramienta de los gobiernos", escriben. "Lo que hicieron los fantasmas chinos en 2008, los ladrones rusos lo harán en 2010".

Aunque F-Secure solo ha visto unos pocos miles de estos ataques, ya son un problema para los usuarios corporativos en el sector de defensa, dijo Hypponen.. "Solo estamos viendo esto ahora en una escala minúscula", dijo. "Si pudieras tomar técnicas como esta y hacerlo a gran escala, eso cambiaría el juego".

(Robert McMillan en San Francisco contribuyó a este informe)