El gobierno de EE. UU. y sus aliados clave, incluidos la Unión Europea, el Reino Unido y la OTAN, atribuyeron formalmente el ciberataque masivo contra los servidores de correo electrónico de Microsoft Exchange a equipos de piratería patrocinados por el estado que trabajan afiliados al Ministerio de Seguridad del Estado (MSS) de la República Popular China. .
En un comunicado emitido por la Casa Blanca el lunes, la administración dijo, «con un alto grado de confianza, que los actores cibernéticos maliciosos afiliados al MSS de la República Popular China llevaron a cabo operaciones de ciberespionaje utilizando las vulnerabilidades de día cero en Microsoft Exchange Server reveladas a principios de marzo de 2021». El gobierno del Reino Unido acusó a Beijing de un «patrón generalizado de piratería» y «sabotaje cibernético sistémico».
La amplia campaña de espionaje aprovechó cuatro vulnerabilidades no descubiertas previamente en el software de Microsoft Exchange y se cree que afectó al menos a 30 000 organizaciones en los EE. UU. y cientos de miles más en todo el mundo. Microsoft identificó al grupo detrás del hackeo como un hábil actor respaldado por el gobierno que opera desde China llamado Hafnium.
Llamándolo «la intrusión cibernética más significativa y generalizada contra el Reino Unido y sus aliados», el Centro Nacional de Seguridad Cibernética (NCSC) dijo que era muy probable que el ataque permitiera «adquirir información de identificación personal y propiedad intelectual».
Además, el MSS también fue señalado como parte detrás de una serie de actividades cibernéticas maliciosas rastreadas bajo los apodos «APT40» y «APT31», y el Reino Unido atribuye a los grupos el objetivo de las industrias marítimas y los contratistas de defensa naval en los EE. UU. y Europa. y así como por ejecutar el ataque al parlamento finlandés en 2020.
Además, el lunes, la Oficina Federal de Investigaciones (FBI) de EE. UU., la Agencia de Seguridad Nacional (NSA) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publicaron una lista de avisos conjunta de más de 50 tácticas, técnicas y procedimientos empleados por APT40 y otros chinos. actores cibernéticos patrocinados por el estado.
«Han pasado algunos meses desde que los atacantes explotaron los errores relacionados con Hafnium en Exchange para implementar ransomware, como DearCry y Black Kingdom», dijo Mark Loman, director de ingeniería de Sophos, en un comunicado enviado por correo electrónico. «En general, para protegerse, los operadores de ransomware suelen operar desde la web oscura o a través de uno o más servidores comprometidos alojados en países distintos a la ubicación física de los atacantes. Esto hace que la atribución de ataques sea difícil, pero no imposible».
Estados Unidos acusa a miembros del grupo chino de hackers APT 40
En un desarrollo relacionado, el Departamento de Justicia de los EE. UU. (DoJ) presentó cargos penales contra cuatro piratas informáticos de MSS pertenecientes al grupo APT40 en relación con una campaña de varios años dirigida a gobiernos y entidades extranjeras en los sectores marítimo, de aviación, defensa, educación y atención médica en al menos un año. docena de países para facilitar el robo de secretos comerciales, propiedad intelectual e información de alto valor.
Por separado, el NCSC también anunció que un grupo conocido como «APT10» actuó en nombre del MSS para llevar a cabo una campaña cibernética sostenida centrada en proveedores de servicios a gran escala con el objetivo de obtener acceso a secretos comerciales y datos de propiedad intelectual en Europa, Asia y EE. UU.
«APT 10 tiene una relación duradera con el Ministerio de Seguridad del Estado de China y opera para cumplir con los requisitos del Estado chino», dijo la agencia de inteligencia.
En un comunicado de prensa, la Unión Europea instó a las autoridades chinas a tomar medidas contra las actividades cibernéticas maliciosas realizadas desde su territorio, afirmando que los ataques al servidor de Microsoft Exchange generaron riesgos de seguridad y pérdidas económicas significativas para las instituciones gubernamentales y las empresas privadas.
El gobierno chino ha negado repetidamente las afirmaciones de intrusiones patrocinadas por el estado. Un portavoz de la embajada china en Washington, según Associated Press, describió a China como «una víctima grave del robo cibernético, el espionaje y la vigilancia de EE. UU.», y señaló que «EE. la seguridad cibernética. «
«La República Popular China ha fomentado una empresa de inteligencia que incluye piratas informáticos contratados que también realizan operaciones cibernéticas no autorizadas en todo el mundo, incluso para su propio beneficio personal», dijo la Casa Blanca, y agregó que «piratas informáticos con un historial de trabajo para el Ministerio de Seguridad del Estado de la República Popular China (MSS). ) se han involucrado en ataques de ransomware, extorsión cibernética, cryptojacking y robo de rango de víctimas en todo el mundo, todo para obtener ganancias financieras».
Actualizar: Hablando en una conferencia de prensa, Zhao Lijian, portavoz del Ministerio de Relaciones Exteriores de China, rechazó las acusaciones de que Beijing estaba detrás de la campaña global de piratería cibernética dirigida a los servidores de Microsoft Exchange y acusó a EE. UU. de ser la mayor fuente de ataques en el ciberespacio del mundo.
«China se opone firmemente y combate todas las formas de ataques cibernéticos. Nunca alentará, apoyará ni aprobará los ataques cibernéticos. Esta posición ha sido consistente y clara», dijo Lijian. «Dada la naturaleza virtual del ciberespacio y el hecho de que hay todo tipo de actores en línea que son difíciles de rastrear, es importante tener suficiente evidencia al investigar e identificar incidentes relacionados con el ciberespacio. Se requiere prudencia adicional al vincular los ataques cibernéticos con el gobierno. de cualquier país Los llamados detalles técnicos publicados por el lado estadounidense no constituyen una cadena completa de evidencia «.
