Edificio de la Unidad 61398
China nunca esperaba esto
por James Dunnigan
Los EE.UU. está tratando una nueva táctica en su lucha contra la piratería china. Eso se está haciendo al acusar a cinco oficiales de alto rango del Ejército chino (Wang Dong, Sun Kailiang, Wen Xinyu, Huang Zhenyu, y Gu Chunhui) que se sabe que están dirigiendo una organización específica del ejército (la Unidad 61398) en las afueras de Shangai que ha sido rastreados en la fuente de miles de ataques de hackers a empresas estadounidenses. Estos ataques resultaron en el robo de miles de millones de dólares de los secretos comerciales y de software. China se ha negado constantemente cualquier conocimiento o participación en estos atentados. El Departamento de Defensa de EE.UU. ha buscado por mucho tiempo permiso para ir al ataque contra la piratería china pero involucrando a los militares golpeando a muchos como peligroso contra un enemigo potencial tan grande y poderoso como China. Las demandas y sanciones, por otro lado, son un asunto civil. Mucho menos riesgoso que una escalada militar. Los chinos están luchando para hacer frente a esta inesperada forma de contraataque y de sanciones y la mala publicidad que es probable que siga.
Edificio de la Unidad 61398
A principios de 2013 se reveló (al menos para el público) por los investigadores de seguridad de Internet occidentales de que una organización militar china específica, la Unidad 61398, ha sido responsable de más de un millar de ataques a organizaciones gubernamentales y empresas comerciales desde 2006. China negó esto, y algunos ataques de la Unidad 61398 cesaron y otros cambiaron sus métodos durante un mes más o menos. Pero desde entonces, la Unidad 61398 aparentemente ha regresado a la normalidad. Los chinos descubrieron que, como siempre, incluso cuando una de sus organizaciones de ciberguerra fuera identificado por su nombre y descripta en detalle había poca o alguien pudiera hacer al respecto. Obviamente, hubo una reacción de China, cuando la noticia inicial se convirtió en titulares, pero después de un mes o así se dieron cuenta de que no había ninguna diferencia y los hackers chinos se fue de nuevo a hacer la guerra al resto del mundo. Se cree que la Unidad 61398 consiste de varios miles de militares y personal civil a tiempo completo, así como los civiles a tiempo parcial (a menudo contratistas que se traen para un proyecto específico). Así, hace un año los chinos pensaban que estaban a salvo a pesar de esta publicidad no deseada para la reservada Unidad 61398.
Los hackers de guerra cibernética de China se han convertido en más fácil de identificar debido a que han sido cada vez más arrogantes y descuidados. Los investigadores de seguridad de Internet han encontrado trozos idénticos de código (el texto legible por humanos que los programadores crean y luego se convierten en más pequeño código binario de los ordenadores para su uso) y las técnicas para su uso en software de hacking utilizado contra grupos independentistas tibetanos y software comercial vendido por algunas empresas en China y conocido a trabajar para el ejército chino. Patrones similares se han encontrado en el código de hackers dejado atrás durante los ataques a redes militares y corporativas estadounidenses. Los mejores hackers ocultan sus pistas mejor que esto. Los hackers chinos han descubierto que no importa. Su gobierno los protegerá.
Se ha observado que el comportamiento chino es muy diferente de la que encontramos entre las operaciones de piratería de Europa del Este. Los hackers de Europa del Este son más disciplinados y vienen en como comandos y obtienen rápidamente una vez que tienen lo que ellos estaban buscando y se retiran. Los chinos van después de más objetivos con ataques menos hábiles y se quedas más tiempo de lo que deberían. Así es como muchos hackers se realiza un seguimiento de vuelta a China, a menudo a servidores específicos conocidos por ser de propiedad de los militares chinos o los institutos de investigación del gobierno.
Mayormente han sido europeos del este en este tiempo y la mayoría de los hackers trabajan para bandas criminales, que hacen cumplir la disciplina, seleccionan objetivos, y protegen sus piratas informáticos de la policía local y extranjeros. Los grupos de hackers de Europa del Este son más difíciles de detectar (cuando están intentando entrar) y mucho más difíciles de localizar. De este modo, los europeos del Este van por los blancos más difíciles (y lucrativos). Los hackers chinos son un grupo más diverso. Algunos trabajan para el gobierno, muchos más son contratistas, y aún más son los independientes, que a menudo se deslizan hacia el lado oscuro y realizan estafas a chinos. Esto está prohibido por el gobierno, y estos hackers son a veces capturados y castigados, o simplemente desaparecen. Los hackers chinos son, en comparación con los europeos del este, menos calificados y disciplinados. Hay algunos muy, muy buenos hackers chinos, pero a menudo carecen de supervisión de un adulto (o algún mafioso ucraniano listo para poner una bala en su cabeza si no siguen las órdenes exactamente).
Para los hackers chinos que se comportan (no hacen delitos cibernéticos contra objetivos chinos) las recompensas son grandes. Las grandes recompensas se pagan con datos militares y del gobierno sensibles tomados de Occidente. Esto anima a algunos hackers no calificadas para asumir objetivos que no pueden manejar. Esto se observó cuando un grupo de hackers fueron capturados tratando de entrar en una red de alta seguridad en la Casa Blanca (la relativa a las comunicaciones de emergencia con los militares y las fuerzas nucleares). Estos aficionados son a menudo atrapados y enjuiciados. Pero los profesionales tienden a dejar nada atrás pero que señala que pueden ser objeto de burlas de uso pesado de minería de datos y análisis de patrones.
Durante la última década empresas de seguridad de Internet (sobre todo la última década Kaspersky Labs, Mandiant y Symantec) han sido cada vez más exitosas en la identificación de las organizaciones de hackers responsables de algunos de los ataques de piratas informáticos a gran escala en las redes empresariales y gubernamentales. Esto ha llevado a la identificación de decenas de grandes operaciones de piratería y que hace campaña eran responsables. Las empresas de seguridad también se identifican y describen los principales malware (software creado por los hackers para penetrar y robar a los sistemas de destino). Por ejemplo, a principios de este año Kaspersky Labs. descubrió un programa de espionaje sigiloso llamado NetTraveler. Este bit malware se había plantado en secreto en los ordenadores utilizados por los diplomáticos y funcionarios de gobierno en más de 40 países. También afectados fueron las compañías petroleras y activistas políticos que se oponen a China. No hay muestras de NetTraveler de Israel estuviera disponibles para este análisis, pero el programa aparentemente hicieron aparecer en Israel (pero puede haber sido impedido de robar cualquier cosa). La disección de NetTraveler indicó que fue creado por una cincuentena de personas diferentes, en su mayoría hablantes de chino que sabían cómo programar en inglés.
Kaspersky descubrió también un poco similar de malware llamado Red October [Octubre Rojo], ya que parecía haber sido creado por los programadores de habla rusa. Octubre Rojo era un sistema muy elaborado y versátil de malware. Cientos de diferentes módulos se han descubierto y Octubre Rojo habían sido diseñadas para un mayor número de objetivos específicos. Octubre Rojo se encontró que era de los ordenadores personales y los teléfonos inteligentes de personal militar clave en la Europa del Este, Asia Central, y docenas de otras naciones (Estados Unidos, Australia, Irlanda, Suiza, Bélgica, Brasil, España, Sudáfrica, Japón, y la Emiratos Árabes Unidos). La campaña en Internet Octubre Rojo ha estado sucediendo desde hace al menos cinco años y ha estado buscando militares y secretos diplomáticos. Como resultado de este descubrimiento, los operadores de Internet en todo el mundo cerraron las direcciones Octubre Rojo dependía.
Octubre Rojo no parece ser el producto de una agencia de inteligencia del gobierno y puede ser de uno de los varios grupos de hackers privados sombríos que se especializan en la búsqueda de secretos militares y luego venderlos al mejor postor. Los compradores de estas cosas prefieren guardar silencio acerca de la obtención de los secretos de esta manera. En respuesta a esta publicidad, los operadores del Octubre Rojo, aparentemente, han cerrado la red. El gobierno ruso ordenó a los servicios de seguridad para averiguar si los rusos estaban involucrados con el Octubre Rojo y, en caso afirmativo, para arrestar y enjuiciar a ellos. Rusia ha sido durante mucho tiempo un refugio para los delincuentes de Internet, en gran parte debido a la mala actuación policial y la corrupción. Bien puede suceder que la tripulación del Octubre Rojo está en Rusia y ha dado sus frutos a muchos policías rusos con el fin de evitar la detección y el enjuiciamiento. Hasta la fecha, no se han encontrado los operadores del Octubre Rojo. Todos los países, excepto China, se han vuelto más dispuestos a ayudar a encontrar, arrestar y enjuiciar a los hackers. Mientras que más van a la cárcel, sigue siendo una proporción muy pequeña de los involucrados.
Lo que la mayoría de estos ataques a gran escala tienen en común es la explotación de un error humano. Ejemplo de ello es el éxito continuo de ataques a través de Internet contra civiles, militares y personas específicas del gobierno usando la psicología, más que tecnología. Este tipo de cosas a menudo se realiza en forma de correo electrónico que parecen ser oficiales, con un archivo adjunto, enviado a la gente en una organización militar o gubernamental específica. Por lo general, es un correo electrónico que no esperaban, sino de alguien que ellos reconocen. Esto se conoce en el comercio como "pesca submarina" (o "phishing"), que es una técnica de la ciberguerra que envía correo electrónico oficial buscando a individuos específicos con un archivo adjunto que, si se abre, se instala secretamente un programa que envía archivos e información de PC del destinatario de correo electrónico de la computadora de la lanza del pescador. En los últimos años, un creciente número de militares, el gobierno y el personal del contratista haber recibido correos electrónicos de aspecto oficial con un documento PDF adjunto y pidiendo una pronta atención. Como aparecen más defensas para este tipo de ataques, se desarrollarán nuevos métodos de ataque. Los gobiernos y el público son cada vez más conscientes de la magnitud de los espías de hackers. Lo que aún no se sabe es el impacto de todo esto en el concepto de secretos de estado y capacidad militar.
Strategy Page