10 grupos siniestros de hackers patrocinados por el estado

Los grupos de piratas informáticos son la amenaza de mayor crecimiento para las naciones hoy en día, no tanto los "hacktivistas" de los que escuchamos, sino los grupos extremadamente profesionales que trabajan para los gobiernos que no conocemos. Los grupos de piratas informáticos patrocinados por el estado tienen la capacidad de penetrar en las redes de los medios de comunicación, las grandes corporaciones, los departamentos de defensa y, sí, los gobiernos y causar estragos. Incluso las empresas de seguridad diseñadas para detenerlos pueden ser infiltradas.

La situación es tan mala, se la describe como otra "guerra fría", y esta es verdaderamente global y en gran parte invisible. Incluso las marcas corporativas son objetivo de los estados que buscan una ventaja económica sobre las naciones competidoras. Dado que las defensas informáticas son ridículamente fáciles de comprometer para los hackers, las capacidades ofensivas se vuelven más tentadoras, hasta que eventualmente todos se atacan entre sí. Es solo una cuestión de tiempo antes de que los ataques cibernéticos se consideren un acto de guerra real (una postura hacia la que Estados Unidos ya se está desviando). Grupos de piratas informáticos como los mal llamados "Guardianes de la Paz" ya han amenazado con ataques terroristas violentos y han recortado la libertad de expresión en Hollywood.

Aquí hay 10 de los jugadores clave en este nuevo juego del gato y el ratón de espionaje, sabotaje y guerra.

10El ejército electrónico sirio (SEA)
Siria

El Ejército Electrónico Sirio (SEA) disfrutó de la fama y una especie de relación de amor y odio con los medios de comunicación en 2011-2013. El grupo está compuesto principalmente por estudiantes universitarios en Siria o sus aliados que a menudo ofrecen propaganda para el presidente sirio Bashar al-Assad. Sus hacks de alto perfil de los principales medios de comunicación incluyen el New York Times, varias cuentas de Twitter, e incluso la Cebolla (cuya réplica fue bastante memorable), lo que les ganó un renuente respeto entre las empresas de seguridad.

La SEA también orquestó ataques exitosos en CNN, El Washington Posty Hora en 2013. Finalmente, el grupo una vez convenció al público de que había estallado una explosión en la Casa Blanca, hiriendo al presidente Obama. Esto afectó brevemente al mercado bursátil, reduciendo el índice Dow Jones en un porcentaje completo.

También se sabe que los hackers de la SEA se involucran en actividades más oscuras, como atacar e intimidar a personas con las que no están de acuerdo o que no apoyan a Assad. Si bien dicen ser simples patriotas, también admiten que transmiten información relevante al estado, lo que ilustra la línea turbia entre los hacktivistas y los piratas informáticos patrocinados por el estado. El SEA funciona principalmente mediante el uso de "spear-phishing", un método de ingeniería social en parte, en el que se engaña a un usuario para que proporcione contraseñas u otra información confidencial, a menudo al ser dirigido a un sitio web falso configurado para ese propósito.

En noviembre de 2014, la SEA devolvió y "hackeó" varios sitios utilizando una red de distribución de contenido, mostrando un mensaje emergente que decía: "Usted fue hackeado por el Ejército Electrónico de Siria".

9Tarh Andishan
Corrí

En 2009, Irán se quedó con una infraestructura informática gravemente comprometida y disminuida después del ataque publicitario del gusano Stuxnet. Irán respondió elevando sus capacidades de piratería desde la simple desfiguración del sitio web hasta la guerra cibernética en toda regla. Así, nació un grupo de hackers patrocinado por el estado apodado "Tarh Andishan" ("Pensadores" o "Innovadores" en farsi).

El grupo ganó prominencia con la "Operación Cleaver", una campaña que ha estado activa desde alrededor de 2012 y se ha dirigido a al menos 50 organizaciones en todo el mundo en los campos militar, comercial, educativo, ambiental, energético y aeroespacial. De manera escalofriante, también se dirigieron a las principales aerolíneas y, en algunos casos, incluso obtuvieron un "acceso completo" a las puertas de las aerolíneas y a los sistemas de control, "lo que potencialmente les permite falsificar las credenciales de las puertas". Los objetivos a largo plazo del grupo, publicaron un informe inicial sobre Tarh Andishan (que representa solo una fracción de las actividades del grupo) debido a los temores de que la Operación Cleaver ya representa un "grave riesgo para la seguridad física del mundo".

El informe presenta evidencia, como los identificadores de piratas informáticos conocidos, nombres de dominio iraníes, alojamiento de infraestructura y otros indicadores. Cylance cree que la infraestructura disponible para Tarh Andishan es demasiado grande para ser el trabajo de un individuo o un grupo pequeño. Tarh Andishan utiliza técnicas avanzadas que van desde la inyección de SQL, explotaciones avanzadas y sistemas automatizados de propagación tipo gusano, puertas traseras y más. Se cree que tienen aproximadamente 20 miembros, en su mayoría de Teherán con miembros auxiliares en Canadá, el Reino Unido y los Países Bajos. Sus víctimas incluyen los Estados Unidos y América Central, partes de Europa, Corea del Sur, Pakistán, Israel y varias otras regiones del Medio Oriente.

8Dragonfly / Oso Energético
Europa del Este

Un grupo que Symantec llama "la pandilla Dragonfly" y otras firmas de seguridad llamadas "Oso Energético" ha estado operando desde Europa del Este y apuntando principalmente a compañías energéticas desde alrededor de 2011. Antes de eso, estaba apuntando a los sectores de aerolíneas y defensa, generalmente en el Estados Unidos y Canadá. Symantec dice que el grupo de hackers "tiene las características de una operación patrocinada por el estado, mostrando un alto grado de capacidad técnica". Fue descubierto por primera vez por la empresa de seguridad rusa Kaspersky Labs.

Dragonfly utiliza troyanos de acceso remoto (RAT), como sus propias herramientas de malware Backdoor.Oldrea y Trojan.Karagany para espiar a los objetivos de la industria energética, aunque los métodos también se pueden usar para el sabotaje industrial. El malware generalmente se adjunta a los correos electrónicos de suplantación de identidad (phishing), aunque los hackers han actualizado recientemente a los métodos de "abrevadero" de la focalización: comprometiendo los sitios que se sabe que frecuentan un objetivo.Luego, los objetivos se envían en una serie de redirecciones hasta que Oldrea o Karagany se pueden introducir en el sistema de la víctima. En las últimas etapas de su campaña, incluso lograron infectar el software legítimo, que se descargaría e instalaría como de costumbre junto con el malware no deseado.

Al igual que Stuxnet antes, la campaña de Dragonfly fue uno de los primeros esfuerzos importantes para atacar directamente los sistemas de control industrial. A diferencia de Stuxnet, que estaba dirigido solo al programa nuclear de Irán, la campaña de Dragonfly fue generalizada, con el espionaje y el acceso a largo plazo como su objetivo principal y la capacidad de cometer un sabotaje grave como una capacidad opcional pero aterradora.

7 Operaciones de acceso a medida, NSA
Estados Unidos

Después de Stuxnet, Estados Unidos no se quedaría atrás en el juego de guerra cibernética y espionaje. El país se reserva el derecho de “utilizar todos los medios necesarios: diplomático, informativo, militar y económico, según corresponda y de conformidad con el derecho internacional aplicable”. El grupo de piratería patrocinado por el estado de EE. UU. Es Operaciones de acceso a medida (TAO) administradas por la Agencia de Seguridad Nacional. . Es el grupo responsable de hacer famoso a Edward Snowden después de la revista alemana. Der Spiegel detalles filtrados que revelan TAO y el hecho de que la NSA había recopilado datos telefónicos de miles de estadounidenses y objetivos de inteligencia en el extranjero.

Desde al menos 2008, TAO también pudo interceptar entregas de PC (donde interceptaría la computadora y ubicaría el software de espionaje), explotar vulnerabilidades de hardware y software, y hackear corporaciones tan sofisticadas como Microsoft (que TAO supuestamente hizo a través del diálogo del informe de bloqueo de Microsoft junto con la gama habitual de técnicas ultra sofisticadas de guerra cibernética).

La organización no es tan reservada en estos días, y los empleados incluso se listan en LinkedIn, pero está tan ocupado, con suerte contra enemigos extranjeros esta vez. Su sede principal de 600 empleados se encuentra en el complejo principal de la NSA en Fort Mead, Maryland. Para tener una idea de sus operaciones actuales, solo pregúntele a Dean Schyvincht, quien dice ser un Operador de Red Informática Senior TAO de la oficina de Texas. Dice que "más de 54,000 operaciones de Explotación de Red Global (GNE) en apoyo de los requisitos de la agencia de inteligencia nacional" se han llevado a cabo a partir de 2013 con un personal de solo 14 personas bajo su administración. Sólo podemos imaginar lo que Fort Mead está haciendo.

Equipo de Seguridad 6Ajax / Flying Kitten
Corrí

Ajax comenzó en 2010 como un grupo de "hacktivistas" y defacers de sitios web de Irán, pero pasaron del activismo al espionaje cibernético y la salida de disidentes políticos. Niegan ser patrocinados por el estado, pero muchos creen que fueron contratados por el gobierno iraní, un patrón cada vez más común en el que un grupo gana la atención de un gobierno a través de sus actividades públicas para obtener el patrocinio estatal.

Ajax llamó la atención de empresas y grupos de seguridad como CrowdStrike cuando una serie de errores (uno de los cuales dio a los investigadores la dirección real de correo electrónico de un miembro) expuso intentos de atacar a la industria de defensa de Estados Unidos y disidentes iraníes. La firma FireEye cree que Ajax fue responsable de la "Operación Saffron Rose", una serie de ataques de phishing e intentos de suplantación de Microsoft Outlook Web Access y VPN para obtener información y credenciales dentro de la industria de defensa de EE. UU. El grupo también expuso a los disidentes al atraerlos con herramientas corruptas contra la censura.

Grupos como este demuestran una creciente "área gris entre las capacidades de espionaje cibernético de los grupos de piratas informáticos de Irán y cualquier participación directa del gobierno o el ejército iraní". Esta línea borrosa entre los grupos y los gobiernos probablemente se hará más pronunciada en el futuro.

5APT28
Rusia

"APT" significa "amenaza persistente avanzada", una designación utilizada en informes sobre grupos de hackers por parte de las empresas de seguridad. A veces, cuando no hay mucho más que seguir, estos grupos reciben el nombre de estos informes. Tal es el caso de un grupo peligroso llamado "APT28" y se cree que opera fuera de Rusia. Ha estado involucrado en espionaje cibernético avanzado desde al menos 2007.

Rusia es considerada uno de los líderes mundiales en guerra cibernética, pero es difícil encontrar pruebas concluyentes que relacionen el APT28 con Moscú. Según el vicepresidente de inteligencia sobre amenazas de FireEye, su informe muestra que el malware y las herramientas utilizadas y creadas por APT28 indican de manera consistente "personas que hablan ruso que operan durante el horario comercial y son consistentes con la zona horaria de las principales ciudades de Rusia, incluyendo Moscú y San Petersburgo . ”

El grupo utilizó una serie de métodos y ataques contra objetivos militares y políticos en los Estados Unidos y Europa del Este, incluidos objetivos especialmente valiosos para Rusia, como Georgia. Incluso está dirigido a la OTAN, y en un informe diferente, un funcionario de la Casa Blanca ha confirmado que el grupo se abrió camino en redes no clasificadas de la Casa Blanca y puede haber apuntado a Ucrania.

4Unidad 61398 / Comment Crew / Putter Panda
China

https://www.youtube.com/watch?v=YqiaVMCVCSQ

En 2013, Mandiant publicó un informe que afirmaba haber capturado a China con su mano derecha en el contenedor de cookies de información. Mandiant concluyó que un grupo que trabajaba para la unidad 61398 de la élite del ejército chino robó cientos de terabytes de datos de al menos 141 organizaciones en países de habla inglesa. Mandiant basó esta alegación en pruebas como las direcciones IP de Shanghai, las computadoras que usan la configuración del idioma chino simplificado y las indicaciones de que numerosos individuos en lugar de sistemas automatizados estaban detrás de los ataques.

China rechazó las afirmaciones y dijo que el informe "no se basa en hechos" y "carece de pruebas técnicas". Brad Glosserman, director ejecutivo del Foro del Centro para Estudios Estratégicos e Internacionales del Foro del Pacífico refutó esto, señalando que las pruebas, cuando se toman Junto con el tipo de información robada, no admite un rechazo. Mandiant incluso sabía de dónde procedían la mayoría de los ataques: un edificio de 12 pisos a las afueras de Shanghai, donde los piratas informáticos tenían acceso a cables de fibra óptica de alta potencia.

Se informa que unos 20 grupos de hackers de alto perfil provienen de China, y se cree que al menos algunos de ellos informan al Ejército Popular de Liberación (ejército chino). Esto incluye Comment Crew y Putter Panda, un grupo de hackers activo desde 2007 que supuestamente ha funcionado en edificios propiedad de PLA. Ayudaron a desencadenar una acusación en curso en los Estados Unidos contra un grupo de cinco personas en 2014.

3Axiom
China

Una coalición de grupos relacionados con la seguridad, incluidos Bit9, Microsoft, Symantec, ThreatConnect, Volexity y otros, ha identificado a otro grupo peligroso, al que han denominado "Axiom". El grupo se especializa en el espionaje corporativo y la orientación de disidentes políticos, y puede que haya estado detrás del ataque de 2010 en Google. Se cree que el axioma proviene de China, pero nadie ha podido identificar dónde opera el grupo en China continental. Un informe de la coalición indicó que las actividades de Axiom se superponían con "el área de responsabilidad" atribuida a las agencias de inteligencia del gobierno chino, un fallo también respaldado por un flasheo del FBI lanzado a Infragard.

El informe continúa describiendo a Axiom como un posible subgrupo de un grupo no identificado más grande en operación por más de seis años, dirigido principalmente a industrias privadas que son influyentes en la esfera económica. Utilizan técnicas que van desde ataques genéricos de malware hasta sofisticadas vulnerabilidades de piratería que pueden tardar años en manifestarse. Los gobiernos occidentales, las instituciones a favor de la democracia y los disidentes dentro y fuera de China también han sido atacados. El portavoz de la embajada de China, Geng Shuang, dijo que "a juzgar por la experiencia pasada, este tipo de informes o denuncias suelen ser ficticios" y que el gobierno de Beijing "ha hecho todo lo posible para combatir tales actividades".

2Bureau 121
Pyongyang, Corea del Norte

Hasta ahora, la mayoría de las personas han escuchado sobre los ataques a Sony Pictures por parte de hackers que se llaman a sí mismos "Guardianes de la Paz" (GOP). El grupo afirmó estar molesto por La entrevista-una próxima película que describe el asesinato gráfico del líder de Corea del Norte, Kim Jong-un. Los Guardianes de la Paz incluso amenazaron con ataques terroristas al 11 de septiembre contra las instalaciones y cines de Sony si La entrevista Fue lanzado, junto con los ataques contra los actores y ejecutivos involucrados. El GOP escribió: "Lo que venga en los próximos días se debe a la codicia de Sony Pictures Entertainment. Todo el mundo denunciará a la SONY ".

Los vínculos con Corea del Norte han llevado a acusaciones de que la propia nación fue responsable de al menos algunos de los ataques. Esto ha llevado a un grupo conocido como Bureau 121 a los medios de comunicación. Bureau 121 es un cuadro de guerra cibernética de hackers y expertos en computación de Corea del Norte. Los desertores han afirmado que el grupo pertenece a la Oficina General de Reconocimiento, la agencia de espionaje militar de Corea del Norte. Participa en ataques y sabotajes patrocinados por el estado en nombre del gobierno de Pyongyang contra Corea del Sur y enemigos percibidos como los EE. UU. En 2013, se atribuyó al grupo un ataque a 30,000 PC dentro de bancos y compañías de transmisión de Corea del Sur. Según algunos, la Oficina 121 está compuesta por unos 1.800 miembros que son tratados como élites y cuentan con abundantes incentivos, como salarios ricos y la capacidad de traer a sus familias cuando se les asigna un espacio vital en Pyongyang. El desertor Jang Se-yul, quien afirma haber estudiado con el grupo en la universidad militar de Corea del Norte para ciencias de la computación (Universidad de Automatización), dijo a Reuters que existen divisiones en el extranjero del grupo, integradas en negocios legítimos.

Pero, ¿está el gobierno de Corea del Norte realmente detrás de los ataques? Un portavoz se negó a aclararlo y solo dijo: "Las fuerzas hostiles están relacionando todo con la RPDC (Corea del Norte). Les aconsejo que esperen y vean ”. La Casa Blanca le dijo a CNN que“ han encontrado vínculos con el gobierno de Corea del Norte ”y estaban“ considerando una variedad de opciones para sopesar una posible respuesta ”. En cualquier caso, Sony cedió En las amenazas. Después de que muchos cines abandonaran la inauguración de la película en Navidad, la corporación lo hizo por tiempo indefinido, un movimiento que no parece bueno para la libertad de expresión en un mundo en el que cualquier acosador cibernético con suficientes habilidades de piratería puede escapar. Nota: desde el momento de la escritura, Sony ha lanzado la película en una capacidad limitada.

1 Lince oculto
China

"Lince oculto" (un nombre dado por Symantec) es uno de los grupos activos más nuevos. Un informe de 2013 los describe como un equipo de hackers extremadamente organizado y experimentado (alrededor de 50 a 100 de ellos) con una gran cantidad de recursos a su disposición y la paciencia para usarlos. Regularmente utilizan, si no crean, las últimas técnicas de piratería, incluido el uso exclusivo de "pozos de agua". Este fue uno de los métodos utilizados en 2013 para infiltrarse en la empresa de seguridad basada en la nube Bit9 en un intento de obtener acceso a su clientela.

Estas personas no solo se dedican a obtener credenciales de juego, a usuarios de peer-to-peer o al robo de identidad (aunque también hacen todo eso).Persiguen algunos de los objetivos más seguros del mundo, incluidas las industrias de defensa, las corporaciones de alto nivel y los gobiernos de las principales naciones, con ataques concentrados en Estados Unidos, China, Taiwán y Corea del Sur. Son la organización por excelencia de hackers mercenarios al estilo de Hollywood.

Todos los indicios parecen apuntar a China como la base principal de operaciones de Hidden Lynx, pero no es seguro si se trata de una especie de entidad patrocinada por el estado o de un poderoso grupo mercenario. Sus habilidades y técnicas avanzadas, así como el hecho de que su infraestructura y los servidores de comando y control se originan en China, hacen que sea altamente improbable que el grupo no sea compatible.