Como resultado del estudio, el Wall Street Journal descubrió que el ataque Cloud Hopper fue mucho más extenso de lo que se pensaba.
Los hackers parecían estar escondidos en todas partes.
En uno de los mayores intentos de organizar el espionaje industrial, se rumoreaba que los atacantes habían trabajado junto con la inteligencia china en los últimos años robando grandes cantidades de propiedad intelectual, detalles sobre el acceso a información clasificada y otros registros de muchas compañías. Obtuvieron acceso a sistemas que contenían los secretos de exploración de Rio Tinto, así como a investigaciones médicas no públicas de la gigante empresa de electrónica y atención médica Philips.
Ingresaron a los sistemas a través de proveedores de servicios en la nube, las mismas nubes donde las empresas almacenaban sus datos con la esperanza de su seguridad. Habiendo penetrado en dicho servicio, los piratas informáticos podían moverse anónima y libremente de un cliente a otro, y durante años resistieron los intentos de los investigadores de expulsarlos de allí.
Por primera vez, los investigadores de ciberseguridad descubrieron signos de piratería en 2016 y los llamaron Cloud Hopper [cloud hopper]. En diciembre pasado, los fiscales estadounidenses
culparon a dos ciudadanos chinos por esto. Los sospechosos aún no están detenidos.
Un estudio del Wall Street Journal encontró que, de hecho, la escala de este ataque es mucho mayor de lo que se pensaba. Va mucho más allá de las 14 compañías no identificadas que figuran en la acusación, se extiende a varios proveedores de nube de al menos diez, incluido CGI Group Inc., uno de los proveedores canadienses más grandes; Tieto Oyj, una importante empresa finlandesa de TI; y International Business Machines Corp.
WSJ reunió información sobre piratería y contraataques llevados a cabo por compañías de seguridad y gobiernos occidentales, entrevistó a más de diez investigadores, examinó cientos de páginas de documentación interna e investigaciones de la compañía e información técnica relacionada con intrusiones.
WSJ encontró eso en Hewlett Packard Enterprise Co. todo fue tan malo que la compañía de la nube ni siquiera notó que los piratas informáticos volvían a ingresar a la red del cliente y dio luz verde a todos los clientes.
Dentro de las nubes, un grupo de piratas informáticos, que funcionarios e investigadores occidentales denominaron APT10, obtuvieron acceso a un gran conjunto de clientes. Un estudio de WSJ encontró cientos de compañías que trabajan con proveedores de nube afectados, incluidos Rio Tinto, Philips, American Airlines Group Inc., Deutsche Bank AG, Allianz SE y GlaxoSmithKline PLC.
El director del FBI, Christopher Ray, leyó el cargo de dos ciudadanos chinos en el ataque Cloud Hopper 20 de diciembre de 2018La cuestión de si los hackers permanecen dentro de las redes de las empresas hasta el día de hoy sigue siendo una pregunta abierta. WSJ examinó los datos proporcionados por SecurityScorecard y encontró cientos de direcciones IP en todo el mundo que continuaron transmitiendo datos a la red APT10 desde abril hasta mediados de noviembre.
Según funcionarios actuales y anteriores, las autoridades estadounidenses, incluido el Departamento de Justicia de EE. UU., Estaban preocupadas por si eran víctimas de estos ataques y si estos ataques le daban acceso al gobierno chino a infraestructura crítica. En 2019, Reuters
informó sobre ciertos aspectos de interés para el proyecto chino de ciberespionaje.
Ahora el gobierno de los EE. UU. Afirma que APT10 logró robar casos detallados de más de 100,000 miembros del personal de la Marina de los EE. UU.
US Navy Sailors Watch EA-18 Growler AircraftLos investigadores, tanto del gobierno como de terceros, afirman que muchas de las compañías de nube más grandes han tratado de mantener a los clientes en la oscuridad sobre lo que está sucediendo en sus redes. "Fue como tratar de detener las arenas movedizas", dijo un investigador.
Los funcionarios del Departamento de Seguridad Nacional de EE. UU. Están tan frustrados por la resistencia de las empresas de la nube que hoy están trabajando en la revisión de los contratos federales para obligar a las empresas a someterse a la detección futura, como dicen algunas personas familiarizadas con el tema.
Un portavoz del Departamento de Seguridad Nacional de Estados Unidos no respondió a la pregunta de si el ministerio fue pirateado. El Ministerio de Justicia tampoco respondió a la solicitud.
El portavoz de HPE, Adam Bauer, dijo que la compañía "trabajó duro para solucionar el impacto de estas intrusiones en nuestros clientes" y agregó que "la seguridad de los datos de los usuarios es nuestra principal prioridad".
"Negamos completamente todas las acusaciones de los medios de que HPE no cooperó con el gobierno con todo el celo posible", dijo Bauer. "Todas esas acusaciones son mentiras descaradas".
El portavoz de IBM, Edward Barbini, dijo que la compañía estaba investigando los incidentes con agencias gubernamentales relevantes y agregó que "no tenemos evidencia de compromiso de ningún dato corporativo sensible". Hemos trabajado individualmente con todos los clientes que han expresado su preocupación ".
Este pirateo demuestra la vulnerabilidad que existe en el centro de los negocios globales: después de todo, las empresas más grandes del mundo almacenan volúmenes cada vez mayores de información confidencial sobre las capacidades de los proveedores de la nube que desde hace mucho tiempo se jactan de su seguridad.
Muchas empresas contactadas por los editores de WSJ se negaron a revelar si fueron atacadas. American Airlines dijo que recibió una notificación de HPE en 2015 que "sus sistemas estuvieron involucrados en un incidente de seguridad cibernética" y que "no encontraron ninguna evidencia de sistemas o datos comprometedores".
Philips dijo que la compañía estaba al tanto de los intentos de piratería que podrían estar asociados con las actividades de APT10, y que "hoy todos estos intentos han sido adecuadamente reprimidos".
Un portavoz de Allianz dijo que la compañía "no encontró evidencia" de la presencia de APT10 en sus sistemas.
GlaxoSmithKline, Deutsche Bank, Rio Tinto y Tieto no hicieron comentarios. CGI no recibió una respuesta a varias solicitudes. El gobierno chino tampoco respondió a la solicitud. En el pasado, ya ha negado los cargos de piratería.
Fantasmas
Los investigadores dicen que Cloud Hopper se ha convertido en la nueva tecnología para APT10 (Advanced Persistent Threat, uno de los grupos de hackers chinos más evasivos). “¿Recuerdas esa vieja broma sobre por qué necesitas robar un banco? Dijo Anne Newberger, jefa de la dirección de seguridad cibernética de la Agencia de Seguridad Nacional. "Porque el dinero está ahí".
Los APT10 relacionados con la seguridad han sido rastreados durante más de una década, mientras que estos últimos han enrutado a gobiernos, compañías de ingeniería, compañías aeroespaciales y telecomunicaciones. Mucha información sobre este equipo permanece en secreto, aunque los fiscales estadounidenses han sugerido que al menos varios de sus miembros trabajen para el Departamento de Seguridad Nacional de China.
Para entrar en los servicios en la nube, los piratas informáticos a veces enviaron correos electrónicos de phishing a los administradores con un alto nivel de acceso. A veces los piratearon a través de sistemas de contratistas, dicen los investigadores.
Rio Tinto fue uno de los primeros objetivos y un conejo experimental, a juzgar por las denuncias de dos personas familiarizadas con este caso. La compañía involucrada en cobre, diamantes, aluminio, mineral de hierro y uranio fue pirateada a través del proveedor de nube CGI en 2013.
Mina Rio Tinto en Harrow, California.Se desconoce qué pudieron obtener los piratas informáticos, pero uno de los investigadores familiarizados con este caso dijo que dicha información se puede utilizar para comprar bienes inmuebles en aquellos lugares donde las compañías mineras planean comenzar el desarrollo.
Orin Palivoda, un agente especial del FBI que investiga Cloud Hopper, dijo en una reciente conferencia de seguridad en Nueva York que el equipo APT10 trabajó como fantasmas en las nubes. "Básicamente parecían todo el resto del tráfico", dijo. "Y ese es un gran, gran problema".
Chris McConkie, investigador senior de ciberseguridad en la filial de PricewaterhouseCoopers en Londres, fue uno de los primeros en descubrir el alcance de las operaciones APT10. Durante una auditoría de seguridad de rutina en una empresa de consultoría internacional a principios de 2016, de repente aparecieron puntos rojos en sus pantallas, lo que indica un ataque masivo.
Al principio, su equipo decidió que este ataque era solo un caso aislado inusual, ya que los piratas informáticos penetraron a través de la nube y no a través de la propia empresa. Sin embargo, luego comenzaron a encontrar un patrón similar con otros clientes.
"Cuando te das cuenta de que hay muchos casos de este tipo, y que los atacantes realmente entienden a qué tienen acceso y cómo abusar de él, entiendes la gravedad de las posibles consecuencias", dijo McConkie. No nombró compañías o proveedores específicos.
El equipo de McConkie, un grupo desconectó el acceso a los malos, el otro recopiló información sobre las penetraciones y evaluó a dónde podían ir los piratas informáticos, trabajó en un piso seguro, al que solo se puede acceder en ascensores separados.
Chris McConkieAprendieron que los hackers trabajaban en equipos. El equipo del martes, como lo llamó McConkie, visitó los servicios para asegurarse de que todos los nombres de usuario robados y sus contraseñas siguieran funcionando. Otro grupo a menudo aparecía después de unos días y robaba datos objetivo.
A veces, los piratas informáticos utilizan las redes de las víctimas como sitios de almacenamiento de datos robados. Posteriormente, una empresa descubrió que almacena información de al menos cinco compañías diferentes.
En los primeros meses del trabajo, el grupo McConkie comenzó a compartir información con otras empresas de seguridad, que también comenzaron a toparse con fantasmas. Los atacantes a veces se burlaban de los cazadores al registrar nombres de dominio para sus campañas, como gostudyantivirus.com y originalspies.com.
"No solo vi grupos chinos de APT burlándose de los investigadores de manera tan agresiva", dijo Mike Maclellan, director de investigación de seguridad de Secureworks. Agregó que a veces APT10 a menudo incluía frases ofensivas en su malware.
Una de las víctimas más importantes de los piratas informáticos fue HPE, cuyos servicios en la nube para servicios empresariales sirvieron datos de miles de empresas de docenas de países. Uno de sus clientes, Philips, gestiona 20,000 TB de datos, incluidas grandes cantidades de información relacionada con investigadores clínicos y datos de aplicaciones para personas con diabetes, como se indica en un video publicitario publicado en Twitter de HPE en 2016.
APT10 ha sido un problema grave para HPE desde al menos 2014, y la compañía no siempre les dice a los clientes la gravedad del problema con sus nubes, según personas familiarizadas con este tema.
Armario de servidores en HP Enterprise en Boeblingen, Alemania.Para complicar esto, los hackers obtuvieron acceso al equipo de la compañía responsable de reportar incidentes cibernéticos, como dicen varias personas familiarizadas con el caso. Mientras HPE trabajaba para limpiar las infecciones, los piratas informáticos monitorearon la compañía y entraron a los sistemas limpios, comenzando un nuevo ciclo, como dijo una de las personas mencionadas.
"Trabajamos diligentemente para eliminar las consecuencias de la invasión hasta que estuvimos convencidos de que eliminamos completamente los rastros de crackers en el sistema", dijo Bauer, un portavoz de HPE.
En el proceso, HPE lideró la división en la nube en una compañía separada, DXC Technology. HPE informó en registros públicos de la época que no tenía ningún agujero de seguridad que implicara costos de material.
El portavoz de DXC, Richard Adamonis, dijo que "no hubo incidentes de seguridad cibernética que afectarían negativamente los activos tangibles de DXC o sus clientes".
Un portavoz de Philips dijo que los servicios proporcionados por HPE "no están relacionados con el almacenamiento, la gestión o la transferencia de datos del paciente".
Rebuff
Las primeras respuestas realmente serias comenzaron a tomar forma en 2017. Un creciente equipo de combatientes se ha unido a varias empresas de seguridad, proveedores de la nube afectados por los ataques y docenas de víctimas.
Las empresas en la nube, que al principio se negaron a compartir información, cambiaron de opinión y comenzaron a cooperar después de ser presionadas por los gobiernos occidentales, como dijeron varias personas familiarizadas con la situación.
Para empezar, los investigadores agregaron entradas falsas a los calendarios de los ejecutivos de la compañía en los sistemas de víctimas para que los piratas informáticos tuvieran la falsa impresión de que los ejecutivos se iban para el fin de semana. Esto se hizo para que los hackers creyeran que la compañía no sospechaba nada. Luego, los investigadores se conectaron repentinamente a los sistemas fuera del período de trabajo habitual del pirata informático y cortaron bruscamente su acceso al cerrar las cuentas comprometidas y aislar los servidores infectados.
APT10 pronto regresó, atacando a nuevas víctimas, incluidas varias compañías financieras.
Uno de los nuevos objetivos ha sido IBM, que ofrece servicios en la nube para muchas compañías de Fortune 500, así como para agencias del gobierno de los EE. UU., Como la Oficina de Servicios Generales, el Departamento del Interior y el Ejército.
Stand de IBM en la feria CeBIT en Hannover, Alemania, 2018.Un portavoz de administración de servicios generales dijo que la agencia trabaja con varias compañías en la nube, conoce Cloud Hopper y está "manejando atentamente las amenazas de seguridad". El Departamento del Interior de los Estados Unidos y el Ejército de los Estados Unidos no hicieron comentarios sobre la situación.
Se sabe muy poco sobre lo que sucedió en IBM. Los hackers aprendieron a esconderse mejor y redirigieron sus ataques a través de cadenas de varios servidores. Funcionarios estadounidenses describieron una sensación de pánico que los incautó en 2017 y 2018, cuando se enteraron de los nuevos ataques realizados por APT10. La situación se volvió tan crítica que tuvieron que emitir una advertencia pública de que los piratas informáticos se habían infiltrado en las infraestructuras más importantes del país, incluidas TI, energía, atención médica y fabricación.
La administración Trump ha estado reflexionando durante varios meses sobre cómo será el caso contra los piratas informáticos, qué se puede decir al público y cómo afectará esto al intercambio. Ex funcionarios estadounidenses familiarizados con el estudio dicen que inicialmente esperaban imponer sanciones contra los chinos asociados con el ataque, y nombraron a media docena de ciudadanos chinos, incluidos algunos chinos directamente relacionados con la inteligencia del país.
Como resultado, solo se nombraron dos personas. Informantes cercanos dijeron que una operación como Cloud Hopper requiere la mayor cantidad de personas posible, incluidos desarrolladores, operadores de penetración y lingüistas para trabajar con materiales robados.
De estos dos, hay poca información sobre Zhu Hua, conocida en línea como Godkiller. Los investigadores asociaron a otra persona, Zhang Shilong, conocida como Darling Dragon, con una cuenta de redes sociales, que publicó instrucciones sobre cómo aprender a hackear.
Ambos, muy probablemente, todavía están en China y pueden terminar en una prisión de los Estados Unidos por hasta 27 años por conspiración, fraude y robo de identidad. Pero Estados Unidos no tiene un tratado de extradición con China, y los editores de WSJ no pudieron contactarlos para recibir comentarios.
Un ex funcionario de inteligencia de Estados Unidos dijo que según los datos capturados por ellos en ese momento, los operadores chinos celebraban su repentina fama y fama.
Hoy, se sabe poco sobre los planes para usar datos robados. A diferencia de otros ataques, los anuncios para la venta de estas montañas de valiosos datos comerciales no aparecen en la sombra de Internet.
Los ataques de Cloud Hopper todavía están extremadamente interesados en los investigadores federales que trabajan en el tema de si esta campaña está relacionada con otros casos de penetración significativa en la infraestructura de las empresas, donde también se sospechaba que los chinos.
Los investigadores o las autoridades occidentales aún no conocen las cifras finales de la campaña, tanto el volumen de acceso a las redes como la cantidad exacta de datos robados.
Aunque los funcionarios estadounidenses y las empresas de seguridad dicen que la actividad APT10 ha disminuido durante el año anterior, la amenaza para los proveedores de la nube sigue siendo la misma. Los investigadores de Google informaron recientemente que los piratas informáticos, supuestamente financiados por el gobierno ruso, intentaron piratear proveedores de servicios de control remoto, que los atacantes también eligieron como su objetivo.
"Me sorprendería saber que hoy no se pueden encontrar docenas de compañías que no sospechan que APT10 ha pirateado su red o aún tiene acceso a ella", dijo Luke Demboski, ex fiscal general adjunto adjunto de seguridad nacional, ahora trabaja con compañías que han sido atacadas por varios grupos, incluido APT10.
“La única pregunta es ¿qué están haciendo allí? Dijo McConkie.
"No han ido a ninguna parte". Justo lo que están haciendo en este momento, no lo vemos ".