Nueva Filtración Muestra el Lado Comercial de la Amenaza APT de China

Una nueva filtración de datos que parece provenir de una de las principales empresas privadas de ciberseguridad de China ofrece una rara visión del lado comercial de los muchos grupos de piratería patrocinados por el Estado de China. Los expertos dicen que la filtración ilustra cómo las agencias gubernamentales chinas están contratando cada vez más campañas de espionaje extranjeras para la floreciente y altamente competitiva industria de ciberseguridad del país.

Una plataforma de diapositivas de marketing que promueve las capacidades Avanzadas de Amenazas Persistentes (APT) de i-SOON.

Un gran caché de más de 500 documentos publicado en GitHub la semana pasada indican que los registros provienen de i-PRONTO, una empresa de tecnología con sede en Shanghai que quizás sea mejor conocida por ofrecer cursos de capacitación en ciberseguridad en toda China. Pero los documentos filtrados, que incluyen conversaciones e imágenes sinceras de chat de empleados, muestran un lado menos público de i-SOON, uno que frecuentemente inicia y sostiene campañas de ciberespionaje encargadas por varias agencias gubernamentales chinas.

Los documentos filtrados sugieren que los empleados de i-SOON fueron responsables de una serie de intrusiones cibernéticas durante muchos años, infiltrándose en los sistemas gubernamentales del Reino Unido y países de Asia. Aunque el caché no incluye datos sin procesar robados de objetivos de ciberespionaje, presenta numerosos documentos que enumeran el nivel de acceso obtenido y los tipos de datos expuestos en cada intrusión.

Los expertos en seguridad que revisaron los datos filtrados dicen que creen que la información es legítima y que i-SOON trabaja en estrecha colaboración con el Ministerio de Seguridad del Estado de China y el ejército. En 2021, el gobierno provincial de Sichuan nombró a i-SOON como una de " las 30 principales empresas de seguridad de la información.”

"La filtración proporciona algunos de los detalles más concretos vistos públicamente hasta la fecha, revelando la naturaleza madura del ecosistema de ciberespionaje de China". dijo Dakota Cary, un consultor centrado en China en la firma de seguridad SentinelOna. "Muestra explícitamente cómo los requisitos de focalización del gobierno impulsan un mercado competitivo de piratas informáticos contratados por contratistas independientes.”

Mei Danowski es una exanalista de inteligencia y experta en China que ahora escribe sobre su investigación en una publicación de Substack llamada Natto Thoughts. Danowski dijo que i-SOON ha logrado la clasificación de secreto más alta que puede recibir una empresa no estatal, lo que califica a la empresa para realizar investigaciones y desarrollos clasificados relacionados con la seguridad del Estado.

la página web de "servicios comerciales" de i-SOON establece que las ofertas de la compañía incluyen seguridad pública, lucha contra el fraude, análisis forense de blockchain, soluciones de seguridad empresarial y capacitación. Danowski dijo que en 2013, i-SOON estableció un departamento de investigación sobre el desarrollo de nuevos métodos de penetración de redes APT.

APT significa Amenaza Persistente Avanzada, un término que generalmente se refiere a grupos de piratería patrocinados por el Estado. De hecho, entre los documentos aparentemente filtrados de i-SOON se encuentra una diapositiva de presentación de ventas que destaca audazmente la destreza de piratería del "equipo de investigación de APT" de la compañía (ver captura de pantalla anterior).

Wu Haibo, CEO de i-SOON, en 2011. Imagen: nattothoughts.substack.com.

Los documentos filtrados incluyeron una larga conversación de chat entre los fundadores de la compañía, quienes discuten repetidamente las ventas decrecientes y la necesidad de asegurar más empleados y contratos gubernamentales. Danowski dijo que el CEO de i-SOON, Wu Haibo ("Apagado" en los chats filtrados) es un conocido hacker rojo de primera generación o "Honker", y uno de los primeros miembros del Ejército Verde, el primer grupo hacktivista chino fundado en 1997. El Sr. Haibo aún no ha respondido a una solicitud de comentarios.

En octubre de 2023, Danowski detallado cómo i-SOON se vio envuelto en una disputa contractual de desarrollo de software cuando fue demandado por una empresa china de ciberseguridad competidora llamada Chengdu 404. En septiembre de 2021, el Departamento de Justicia de los EE. UU. acusaciones sin sellar contra varios empleados de Chengdu 404, acusando a la compañía de ser una fachada que ocultaba más de una década de intrusiones cibernéticas atribuidas a un grupo de actores de amenazas conocido como " APT 41.”

Danowski dijo que la existencia de esta disputa legal sugiere que Chengdu 404 e i-SOON pronto tuvieron o alguna vez tuvieron una relación comercial, y que una compañía probablemente sirvió como subcontratista de la otra en campañas específicas de ciberespionaje.

"Por lo que conversan, podemos ver que esta es una industria muy competitiva, donde las empresas en este espacio están constantemente cazando furtivamente a los empleados y las herramientas de los demás", dijo Danowski. "La industria de la seguridad de la información siempre está tratando de distinguir [el trabajo] de un grupo APT de otro. Pero eso se está volviendo más difícil de hacer.”

No está claro si el trabajo de i-SOON le ha valido una designación APT única. Pero Will Thomas, un investigador de inteligencia sobre amenazas cibernéticas en Equinix, encontró una dirección de Internet en los datos filtrados que corresponde a un dominio marcado en un informe del Laboratorio Ciudadano de 2019 sobre exploits de teléfonos móviles con un solo clic que se estaban utilizando para atacar a grupos en el Tíbet. El informe de 2019 se refirió al actor de amenazas detrás de esos ataques como un grupo APT llamado Carpa Venenosa.

Varias imágenes y registros de chat en la filtración de datos sugieren que los clientes de i-SOON le daban periódicamente a la compañía una lista de objetivos en los que querían infiltrarse, pero a veces los empleados confundían las instrucciones. Una captura de pantalla muestra una conversación en la que un empleado le dice a su jefe que acaba de piratear una de las universidades en su última lista, solo para que le digan que la víctima en cuestión en realidad no figuraba como objetivo deseado.

Los chats filtrados muestran que i-SOON intentó continuamente reclutar nuevos talentos organizando una serie de competencias de piratería en China. También realizó trabajos de caridad y buscó involucrar a los empleados y mantener la moral con varios eventos de formación de equipos.

Sin embargo, los chats incluyen múltiples conversaciones entre empleados compadeciéndose por largas horas y bajos salarios. El tono general de las discusiones indica que la moral de los empleados era bastante baja y que el ambiente laboral era bastante tóxico. En varias de las conversaciones, los empleados de i-SOON discuten abiertamente con sus jefes cuánto dinero acaban de perder jugando en línea con sus teléfonos móviles mientras están en el trabajo.

Danowski cree que los datos de i-SOON probablemente fueron filtrados por uno de esos empleados descontentos.

"Esto se publicó el primer día hábil después del Año Nuevo Chino", dijo Danowski. "Definitivamente, quien hizo esto lo planeó, porque no puedes obtener toda esta información de una vez.”

Cary de SentinelOne dijo que llegó a la misma conclusión, señalando que la cuenta de Protonmail vinculada al perfil de GitHub que publicó los registros se registró un mes antes de la filtración, el 15 de enero de 2024.

China es muy cacareada Gran Cortafuegos no solo permite que el gobierno controle y limite a qué pueden acceder los ciudadanos en línea, sino que este aparato de espionaje distribuido permite a las autoridades bloquear los datos de ciudadanos y empresas chinas para que nunca abandonen el país.

Como resultado, China disfruta de una notable asimetría de información con respecto a prácticamente todas las demás naciones industrializadas. Es por eso que esta aparente fuga de datos de i-SOON es un hallazgo tan raro para los investigadores de seguridad occidentales.

"Estaba tan emocionado de ver esto", dijo Cary. "Todos los días espero filtraciones de datos que salgan de China.”

Esa asimetría de información está en el corazón de los objetivos de guerra cibernética del gobierno chino, según un análisis de 2023 por Investigación de Márgenes realizado en nombre de la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA).

"En el área de la guerra cibernética,los gobiernos occidentales ven el ciberespacio como un 'quinto dominio' de la guerra", observó el estudio Margin. "Los chinos, sin embargo, miran el ciberespacio en el contexto más amplio del espacio de la información. El objetivo final no es el "control" del ciberespacio, sino el control de la información, una visión que domina las operaciones cibernéticas de China.”

La Estrategia Nacional de Ciberseguridad emitido por la Casa Blanca el año pasado señala a China como la mayor amenaza cibernética para los intereses estadounidenses. Si bien el gobierno de los Estados Unidos contrata ciertos aspectos de sus operaciones cibernéticas a empresas del sector privado, no sigue el ejemplo de China al promover el robo mayorista de secretos estatales y corporativos en beneficio comercial de sus propias industrias privadas.

Dave Aitel, coautor del informe de investigación Margin y ex científico informático del Agencia de Seguridad Nacional de EE. UU., dijo que es bueno ver que las empresas chinas de ciberseguridad tienen que lidiar con los mismos dolores de cabeza por contratación que enfrentan las empresas estadounidenses que buscan trabajo con el gobierno federal.

"Esta fuga solo muestra que hay capas de contratistas hasta el final", dijo Aitel. "Es bastante divertido ver la versión china.”