Apoyo de organización no gubernamental para cumplir las expectativas del gobierno

El proceso de análisis Red Team consiste en ver una situación desde la perspectiva de un adversario, lo que proporciona conocimientos más allá de los que, de otro modo, están limitados por las inclinaciones normativas. Este blog proporciona una evaluación de la incursión de una empresa en la tendencia popular de divulgación de APT en el contexto del crecimiento cibernético de China y lo que esto podría significar para los esfuerzos de ciberespionaje futuros de EE. UU.

Comprensión de las APT

La divulgación de actividades cibernéticas patrocinadas por el estado se ha convertido en algo corriente durante las últimas décadas desde la publicación del informe APT1 de Mandiant, que causó un punto de inflexión. Mientras los investigadores de diversas empresas divulgan actividades aparentemente patrocinadas por el estado, ha habido una escasez de divulgaciones patrocinadas por el estado de EE. UU., hasta hace poco.

Antes del año pasado, las únicas revelaciones sustanciales de posible actividad cibernética de EE. UU. surgieron cuando se descubrió Stuxnet por primera vez a mediados de 2010, lo que marcó una línea roja en el conocimiento público acerca de lo que las amenazas patrocinadas por el gobierno eran realmente capaces de hacer. Sin embargo, en 2015, Kaspersky publicó la primera descripción general completa de la actividad de espionaje de “Equation Group” presuntamente patrocinada por el gobierno de EE. UU. No pasó mucho tiempo hasta que los medios informativos y otras empresas de seguridad analizaran la investigación de Kaspersky Lab y los infames Snowden Leaks para encontrar posibles conexiones entre ellos. Kaspersky Labs, junto con FireEye, Symantec, TrendMicro y PaloAlto Networks, son líderes globales en informes sobre APT actuales.

China entra en escena: establecimiento de una nueva presencia cibernética

China se ha esforzado durante mucho tiempo para estar al nivel de Estados Unidos y Rusia en la mayoría de los aspectos de fuerzas armadas. En 1993, China inició un esfuerzo sistemático a largo plazo para modernizar sus fuerzas armadas y achicar la brecha con otras potencias mundiales. En 2011, se modificaron las leyes que regulan la conscripción, lo que permitió que los graduados de nivel secundario sirvieran con más eficacia. Con el avance de la cibernética, en 2014, China estableció su Administración Ciberespacial (CAC). La CAC está a cargo de la censura, la vigilancia y el control general de la Internet china para la República Popular China. Acompañando la importante reforma, China reformó completamente su estructura militar, que entró en vigencia el 31 de diciembre de 2015. Esta reforma implicó la creación de un elemento de compromiso cibernético militar más centralizado denominado Fuerza de Apoyo Estratégico (SSF).

Finalmente, continuando con el cambio agresivo para fortalecer las operaciones cibernéticas y, posiblemente, superar a sus adversarios, China creó la Asociación de Seguridad Cibernética de China (CSAC) en marzo de 2016. Este nuevo elemento en el ámbito cibernético se estableció como una organización sin fines de lucro dependiente de la CAC y diseñada para ser una asociación industrial que achique la brecha entre el gobierno y la industria. Asimismo, la organización le proporcionará a China un prestigio aparentemente no gubernamental para usar en el manejo de asuntos internacionales de seguridad cibernética como se vio a principios de este año con GitHub. Sus mandatos oficiales incluyen:

  • “Leyes y normas que ayudan a conformar el nuevo régimen legal de tecnología de la información y comunicación (ICT),
  • Soporte tecnológico que nos ayuda a aumentar la industria de ITC nacional,
  • Supervisión de la opinión pública para asistir en el control de la información y la propaganda,
  • Seguridad y estabilidad de los sistemas, productos y servicios de información (seguridad cibernética convencional),
  • Proteger los intereses principales de China frente a la globalización y promover globalmente las empresas chinas de TI competitivas”.

La junta de la CSAC está compuesta por trece individuos que pertenecen a importantes organizaciones de China. Entre los líderes se encuentran el conocido “padre del gran firewall de China”, Fang Bingxing, y miembros de Antiy Labs, Qihoo 360, Baidu, Alibaba, Xian Jiatong University, Tencent, Huawei y otras personalidades. La conformación de este liderazgo implica un enfoque inherente hacia el acceso a la información y especialidades de defensa.

Antiy Labs: ¿un nuevo portavoz?

Hasta hace poco, las empresas estadounidenses y la rusa Kaspersky Labs han liderado principalmente las actividades de exposición de actividades relacionadas con APT, mientras otras empresas, principalmente europeas, las imitaban. Hoy se suma una empresa antivirus china: Antiy Labs. Publicaron recientemente una divulgación relacionada con una supuesta APT de Equation Group. Antiy Labs publicó un número limitado de artículos de investigación sobre APT durante los últimos tres años, pero no recibió el mismo nivel de cobertura de prensa internacional que sus colegas occidentales.

En el informe, los investigadores de Antiy afirman haber encontrado malware relacionado con Equation Group. La investigación es bastante profunda, pero los investigadores no proporcionan valores hash, limitando los esfuerzos a que analistas externos validen sus hallazgos. Sin embargo, con los datos proporcionados, parte de la investigación parece estar correlacionada inicialmente con los datos anteriores sobre Equation Group divulgados en primer lugar por Symantec que se enfocan en el ahora infame malware Grayfish.

Antiy Labs es una empresa muy importante en la defensa de la red de China. Ha incursionado en la investigación relacionada con APT en el pasado, pero, como se mencionó antes, esta ha sido limitada en cantidad y exposición. Si no se estableció previamente, Antiy ahora tiene el potencial para generar información más amplia que comparte los procedimientos dentro de los límites de los mandatos que rigen a la CSAC. La formación de la CSAC ha unido oficialmente a los socios principales de comunicación y, posiblemente, permitirá el acceso compartido a datos de gran escala con empresas que desean descubrir y divulgar actividades patrocinadas por el gobierno.

La formación de la CSAC y la creciente incorporación de empresas importantes de China, como Antiy, en la investigación sobre APT pueden significar un aumento de los esfuerzos de China para descubrir y exponer operaciones cibernéticas patrocinadas por los estados que interactúan con China, en especial EE. UU. o Rusia. También es sumamente probable que otras empresas chinas aporten y expongan investigación adicional sobre APT.

  • Posted in ASERT Blog
  • Comentarios desactivados en Apoyo de organización no gubernamental para cumplir las expectativas del gobierno