- Más
Identifican hacker de la NSA implicado en el ataque cibernético a la Universidad Politécnica Northwestern de China
(Foto: VCG)
Por Yuan Hong
Durante la investigación del ciberataque contra la Universidad Politécnica Northwestern (NPU), una importante universidad china de aviación, se han extraído con éxito múltiples muestras del spyware llamado SecondDate, y con los esfuerzos de colaboración de socios en varios países, se ha identificado con éxito la identidad real del personal de la Agencia de Seguridad Nacional (NSA) de Estados Unidos responsable de lanzar el ciberataque a NPU, precisó el Centro Nacional de Respuesta a Emergencias de Virus Informáticos (CVERC) y la compañía china de seguridad de Internet 360.
En junio de 2022, NPU emitió una declaración pública afirmando que había sido objeto de un ataque cibernético, con una organización de hackers del extranjero que intentaba robar datos relevantes.
Posteriormente, China detectó con éxito que el cerebro detrás de este ciberataque era la Oficina de Operaciones de Acceso a Medida (TAO, Código S32) bajo la Oficina de Reconocimiento de Datos (Código S3) del Departamento de Información (Código S) de la NSA.
Según documentos internos expuestos por el grupo de hackers "Shadow Brokers", SecondDate es un arma cibernética desarrollada por la NSA. Se implementa principalmente en dispositivos de límite de red de destino, como puertas de enlace, firewalls y enrutadores perimetrales. Monitorea de forma encubierta el tráfico cibernético y, según sea necesario, redirige, intercepta y manipula selectivamente sesiones de red específicas.
La última información muestra que el CVERC y la compañía 360, durante la investigación de este caso de ciberataque, han extraído con éxito múltiples muestras del spyware e identificado la verdadera identidad del personal de la NSA detrás de este caso de "espionaje" cibernético.
El análisis técnico posterior reveló que el spyware involucrado es una herramienta de ciberespionaje altamente avanzada. Los desarrolladores deben tener un conocimiento muy profundo de la tecnología cibernética, especialmente la tecnología de firewall de red, según los expertos. Es equivalente a instalar un conjunto de firewalls de filtrado de contenido y servidores proxy en los dispositivos de red de destino, lo que permite al atacante tomar completamente el control de los dispositivos de red de destino y el tráfico de red que pasa a través de ellos. Esto permite al atacante llevar a cabo el robo a largo plazo en otros hosts y usuarios en la red objetivo, y servir como una "base avanzada" para entregar más armas de ataque cibernético hacia la red objetivo en cualquier momento.
El spyware en cuestión se utiliza generalmente junto con varias herramientas de explotación de vulnerabilidades de firewall y enrutador de TAO. Después de explotar con éxito la vulnerabilidad y obtener los permisos correspondientes, se implanta en el dispositivo de destino. El control del spyware se divide en lado del servidor y lado del control. El lado del servidor se implementa en los dispositivos de límite de red de destino, como puertas de enlace, firewalls o enrutadores perimetrales, y supervisa y filtra todo el tráfico en tiempo real a través de controladores subyacentes. El lado de control activa el mecanismo de activación enviando paquetes especialmente diseñados, y el lado del servidor analiza la dirección IP de reconexión del paquete de activación e inicia una conexión, luego elige cualquier objetivo dentro de la red para llevar a cabo un ataque “man-in-the-middle” de acuerdo con las necesidades reales.
La conexión de red utiliza el protocolo UDP y la comunicación se cifra en todo momento. El puerto de comunicación es aleatorio. El lado de control puede configurar de forma remota el modo de trabajo del lado del servidor y el objetivo del secuestro.
Colaboración necesaria
Según fuentes relevantes, la parte china y sus socios de la industria han llevado a cabo investigaciones técnicas en todo el mundo. A través del rastreo, han descubierto spyware oculto y sus versiones derivadas en miles de dispositivos de red repartidos en múltiples países y regiones. También han encontrado servidores de salto controlados remotamente por la NSA en países y regiones como Alemania, Japón, Corea del Sur, India y la región china de Taiwán.
"Con la fuerte colaboración de socios en varios países, hemos logrado avances significativos y hemos identificado con éxito la verdadera identidad del personal de la NSA responsable de lanzar ataques cibernéticos contra NPU", dijo la fuente.
El portavoz del Ministerio de Relaciones Exteriores de China, Mao Ning, destacó este jueves que "la ciberseguridad es un problema global que requiere una respuesta concertada. Salvaguardar la ciberseguridad es responsabilidad común de todos los países".
"China es un firme defensor de la ciberseguridad. Presentamos la Iniciativa Global sobre Seguridad de Datos, contribuyendo con las ideas de China a la gobernanza digital global. Estamos listos para continuar trabajando con la comunidad internacional para fomentar un ciberespacio caracterizado por la paz, la seguridad, la apertura, la cooperación y el orden", agregó.
La extracción y rastreo exitosos de la muestra de spyware demuestran aún más la determinación de China de prevenir y defenderse contra los ataques cibernéticos respaldados por el gobierno de Estados Unidos y salvaguardar la seguridad cibernética global. Esta práctica de revelar los detalles de los delitos cibernéticos lanzados por el gobierno de Estados Unidos al mundo también demuestra que China tiene una base "visible" en tecnología cibernética, que puede ayudar efectivamente a nuestro país y a otras naciones a percibir riesgos, identificar amenazas y resistir ataques, exponiendo así al público los ataques de piratas informáticos patrocinados por el Estado, indicó la fuente.
Especialistas indicaron que en un futuro cercano se revelarán las identidades reales de las personas involucradas en los ataques cibernéticos de la NSA. Se cree que esto volverá a llamar la atención mundial sobre los ciberataques indiscriminados del gobierno de Estados Unidos contra otros países.
"El gobierno chino concede gran importancia a la seguridad cibernética y de datos. Se han implementado una serie de leyes y regulaciones para reforzar la protección de la información personal. Ahora estamos en la Semana de Ciberseguridad de China 2023. Tener esta semana de este tipo demuestra el énfasis que el gobierno chino pone en fortalecer la ciberseguridad y mejorar la conciencia pública sobre este tema", aseguró Mao.