Los piratas informáticos chinos se disfrazaron de Irán para atacar a Israel

La única solución obvia a este problema es intentar apartar a los investigadores de la pista persiguiendo objetivos que no son realmente de interés. Pero eso causa sus propios problemas: aumentar el volumen de actividad aumenta enormemente las posibilidades de ser descubierto, lo que plantea un dilema Catch-22 para los piratas informáticos.

Las huellas dactilares dejadas por los atacantes fueron suficientes para finalmente convencer a los investigadores israelíes y estadounidenses de que el responsable era el grupo chino, no Irán. El mismo grupo de piratería tiene una forma anterior, habiendo usado tácticas engañosas similares antes. De hecho, incluso puede haber pirateado al propio gobierno iraní en 2019, agregando una capa adicional al engaño.

Es el primer ejemplo de un ataque chino a gran escala contra Israel, y se produce a raíz de un conjunto de inversiones chinas multimillonarias en la industria tecnológica israelí. Fueron hechos como parte de la Iniciativa de la Franja y la Ruta de Beijing, una estrategia económica destinada a expandir rápidamente la influencia china y llegar a través de Eurasia hasta el Océano Atlántico. Estados Unidos advirtió en contra las inversiones con el argumento de que serían una amenaza para la seguridad. La embajada china en Washington DC no respondió de inmediato a una solicitud de comentarios.

Desvío y mala atribución

El ataque de la UNC215 a Israel no fue particularmente sofisticado ni exitoso, pero muestra cuán importante puede ser la atribución (y la mala atribución) en las campañas de ciberespionaje. No solo proporciona un posible chivo expiatorio para el ataque, sino que también proporciona una cobertura diplomática para los atacantes: cuando se enfrentan a pruebas de espionaje, los funcionarios chinos intentan regularmente socavar tales acusaciones argumentando que es difícil o incluso a veces imposible rastrear a los piratas informáticos. .

Y el intento de desviar a los investigadores plantea una pregunta aún mayor: ¿con qué frecuencia los intentos de falsas banderas engañan a los investigadores y las víctimas? No tan a menudo, dice Hultquist.

“Todavía es bastante raro ver esto”, dice. “Lo que pasa con estos esfuerzos de engaño es que si miras el incidente a través de una abertura estrecha, pueden ser muy efectivos”.

“Es muy difícil mantener el engaño en múltiples operaciones”.

John Hultquist, FireEye

Un ataque individual puede ser atribuido incorrectamente con éxito, pero en el transcurso de muchos ataques se vuelve cada vez más difícil mantener la farsa. Ese es el caso de los piratas informáticos chinos que atacaron a Israel durante 2019 y 2020.

“Pero una vez que comienzas a relacionarlo con otros incidentes, el engaño pierde su efectividad”, explica Hultquist. “Es muy difícil mantener el engaño en múltiples operaciones”.

El intento más conocido de mala atribución en el ciberespacio fue un ciberataque ruso contra la ceremonia de apertura de los Juegos Olímpicos de Invierno de 2018 en Corea del Sur. Apodado Destructor olímpico, los rusos intentaron dejar pistas que apuntaran a piratas informáticos norcoreanos y chinos, con pruebas contradictorias aparentemente diseñadas para evitar que los investigadores pudieran llegar a una conclusión clara.

“Olympic Destroyer es un ejemplo asombroso de banderas falsas y pesadilla de atribución”, Costin Raiu, director del Equipo de Análisis e Investigación Global de Kaspersky Lab, tuiteó en el momento.

Finalmente, los investigadores y los gobiernos definitivamente culparon de ese incidente al gobierno ruso y, el año pasado, a los Estados Unidos. acusado seis oficiales de inteligencia rusos para el ataque.

Los piratas informáticos norcoreanos que inicialmente fueron sospechosos del ataque al Destructor Olímpico se han caído banderas falsas durante sus propias operaciones. Pero también fueron finalmente capturados e identificados tanto por investigadores del sector privado como por el gobierno de los Estados Unidos, quienes acusado tres hackers norcoreanos a principios de este año.

“Siempre ha habido una percepción errónea de que la atribución es más imposible de lo que es”, dice Hultiquist. “Siempre pensamos que las banderas falsas entrarían en la conversación y arruinarían todo nuestro argumento de que la atribución es posible. Pero aún no hemos llegado. Estos siguen siendo intentos detectables de interrumpir la atribución. Todavía estamos captando esto. Todavía no han cruzado la línea “.

Leave a Reply

Your email address will not be published. Required fields are marked *