Qué es la alianza secreta de espías “Five Eyes” y cómo desmanteló un ciberataque mundial apoyado por China

La secreta alianza de cinco países ha desarticulado un grupo de piratas informáticos apoyado por China, de una forma inusualmente pública.

Esta semana, la alianza Five Eyes (Cinco Ojos, el pacto de inteligencia entre Australia, Reino Unido, Canadá, Nueva Zelanda y Estados Unidos) anunció su investigación sobre una amenaza de origen chino dirigida contra infraestructuras estadounidenses.

Utilizando técnicas de ocultación, el atacante -denominado “Volt Typhoon”- explotó los recursos existentes en las redes comprometidas, en una técnica denominada “vivir de la tierra”.

Microsoft hizo un anuncio simultáneo, afirmando que el hecho de que los atacantes apuntaran a Guam era revelador de los planes de China de interrumpir potencialmente las infraestructuras críticas de comunicaciones entre Estados Unidos y la región asiática en el futuro.

Este ataque se produce poco después de la noticia, en abril, de un ataque norcoreano a la cadena de suministro del proveedor de telecomunicaciones de Asia-Pacífico 3CX. En este caso, los piratas informáticos accedieron al ordenador de un empleado utilizando una aplicación de escritorio para Windows y un paquete de instalación de software firmado comprometidos.

El anuncio de Volt Typhoon ha llevado a la Agencia de Seguridad Nacional de Estados Unidos a admitir que Australia y otros socios de los Five Eyes participan en un plan de búsqueda y detección selectiva para descubrir las operaciones cibernéticas clandestinas de China.

Este tipo de declaraciones públicas por parte de la alianza de los Five Eyes son escasas y poco frecuentes. Sin embargo, detrás de la cortina, esta red está persistentemente comprometida en tratar de derribar adversarios extranjeros. Y no es tarea fácil.

Echemos un vistazo a los acontecimientos que condujeron a Volt Typhoon y, más en general, a cómo opera esta secreta alianza transnacional.

Descubriendo Volt Typhoon

Volt Typhoon es un “grupo de amenazas persistentes avanzadas” que lleva activo al menos desde mediados de 2021. Se cree que está patrocinado por el gobierno chino y tiene como objetivo organizaciones de infraestructuras críticas en Estados Unidos.

El grupo ha centrado gran parte de sus esfuerzos en Guam. Situado en el Pacífico occidental, este territorio insular de EEUU alberga una importante y creciente presencia militar estadounidense, que incluye la fuerza aérea, un contingente de marines y submarinos con capacidad nuclear.

Es probable que los atacantes del Volt Typhoon pretendieran acceder a redes conectadas a infraestructuras críticas estadounidenses para interrumpir las comunicaciones y los sistemas de mando y control, y mantener una presencia persistente en las redes. Esta última táctica permitiría a Beijing influir en las operaciones durante un posible conflicto en el Mar de China Meridional.

Australia no se vio directamente afectada por Volt Typhoon, según declaraciones oficiales. No obstante, sería uno de los principales objetivos de operaciones similares en caso de conflicto.

No se ha revelado cómo fue capturado Volt Typhoon. Pero los documentos de Microsoft destacan observaciones previas del actor de la amenaza intentando volcar credenciales y datos robados de la organización víctima. Es probable que esto condujera al descubrimiento de redes y dispositivos comprometidos.

Vivir fuera de la red

Los hackers accedieron inicialmente a las redes a través de dispositivos Fortinet FortiGuard orientados a Internet, como los routers. Una vez dentro, emplearon una técnica denominada “vivir fuera de la red”.

Esto es cuando los atacantes se basan en el uso de los recursos ya contenidos en el sistema explotado, en lugar de traer herramientas externas. Por ejemplo, suelen utilizar aplicaciones como PowerShell (un programa de gestión de Microsoft) y Windows Management Instrumentation para acceder a datos y funciones de red.

Al utilizar recursos internos, los atacantes pueden eludir las protecciones que alertan a las organizaciones de accesos no autorizados a sus redes. Como no utilizan software malicioso, parecen usuarios legítimos. Como tal, vivir fuera de la red permite el movimiento lateral dentro de la red y ofrece la oportunidad de un ataque persistente a largo plazo.

Los anuncios simultáneos de los socios de los Five Eyes apuntan a la gravedad del compromiso de Volt Typhoon. Es probable que sirva de advertencia a otras naciones de la región Asia-Pacífico.

Quiénes son los Five Eyes

Formada en 1955, la alianza de los Five Eyes es una asociación de intercambio de inteligencia integrada por Australia, Canadá, Nueva Zelanda, el Reino Unido y Estados Unidos.

La alianza se formó tras la Segunda Guerra Mundial para contrarrestar la posible influencia de la Unión Soviética. Se centra específicamente en la inteligencia de señales. Se trata de interceptar y analizar señales como las comunicaciones por radio, satélite e Internet.

Los miembros comparten información y acceso a sus respectivas agencias de inteligencia de señales, y colaboran para recopilar y analizar enormes cantidades de datos de comunicaciones globales. Una operación de los Five Eyes también puede incluir inteligencia proporcionada por países no miembros y por el sector privado.

Recientemente, los países miembros han expresado su preocupación por el control militar de facto que ejerce China sobre el Mar de China Meridional, su supresión de la democracia en Hong Kong y sus amenazas contra Taiwán. El último anuncio público de las operaciones cibernéticas de China sin duda sirve como una advertencia de que las naciones occidentales están prestando estricta atención a su infraestructura crítica - y pueden responder a la agresión digital de China.

En 2019, Australia fue blanco de actores de amenazas respaldados por el Estado chino que obtuvieron acceso no autorizado a la red informática de la Casa del Parlamento. De hecho, hay pruebas de que China está comprometida en un esfuerzo concertado para atacar las redes públicas y privadas de Australia.

La alianza de los Five Eyes bien puede ser uno de los únicos elementos de disuasión contra los ataques persistentes a largo plazo contra infraestructuras críticas.

*Artículo publicado originalmente por The Conversation- Dennis B. Desmond es Profesor de la Universidad de Sunshine Coast e Investigador sobre Ciberinteligencia y Ciberdelincuencia.

Seguir leyendo: