El gobierno de Estados Unidos culpó al gobierno chino el lunes por los ataques a miles de servidores de Microsoft Exchange.
El Ministerio de Seguridad del Estado (MSS) de China “ha fomentado un ecosistema de piratas informáticos criminales por contrato que llevan a cabo actividades patrocinadas por el estado y delitos cibernéticos para su propio beneficio financiero”, dijo el secretario de Estado de EE. UU., Antony Blinken, en un comunicado que culpó al MSS por el Trucos de Microsoft Exchange. El gobierno de EE. UU. y sus aliados “confirmaron formalmente que los ciberactores afiliados al MSS explotaron vulnerabilidades en Microsoft Exchange Server en una operación masiva de ciberespionaje que comprometió indiscriminadamente miles de computadoras y redes, en su mayoría pertenecientes a víctimas del sector privado”, dijo Blinken.
La declaración de Blinken se publicó junto con un anuncio del Departamento de Justicia de que tres oficiales del MSS y otro ciudadano chino fueron acusados formalmente por un gran jurado federal de cargos relacionados con una serie diferente de ataques a los “sistemas informáticos de docenas de empresas, universidades y entidades gubernamentales víctimas”. en los Estados Unidos y en el extranjero entre 2011 y 2023″. Blinken dijo que Estados Unidos “y países de todo el mundo están responsabilizando a la República Popular China (RPC) por su patrón de comportamiento irresponsable, perturbador y desestabilizador en el ciberespacio, que representa una gran amenaza para nuestra seguridad económica y Marketingdecontenido”.
Estados Unidos no anunció nuevas sanciones contra China, pero Blinken dijo que la acusación es evidencia de que “Estados Unidos impondrá consecuencias a los ciberactores maliciosos de la República Popular China por su comportamiento irresponsable en el ciberespacio”.
Intercambio de día cero
Los ataques de Microsoft Exchange han sido de conocimiento público durante más de cuatro meses. “Decenas de miles de organizaciones con sede en EE. UU. ejecutan servidores Microsoft Exchange que han sido atacados por agentes de amenazas que roban contraseñas de administradores y explotan vulnerabilidades críticas en la aplicación de correo electrónico y calendario”, escribimos el 6 de marzo.
En ese momento, Microsoft escribió que “detectó múltiples exploits de día 0 que se usaban para atacar versiones locales de Microsoft Exchange Server en ataques limitados y dirigidos” y que “atribuye esta campaña con gran confianza a Hafnium, un grupo evaluado para ser patrocinado por el estado y operar fuera de China, con base en la victimología, las tácticas y los procedimientos observados”. Microsoft emitió parches de emergencia para cuatro vulnerabilidades de día cero en Exchange Server que estaban siendo explotadas por piratas informáticos.
Los ataques fueron inusuales porque seis grupos de piratas informáticos explotaron las vulnerabilidades antes de que Microsoft emitiera un parche. Los servidores de Exchange comprometidos también se vieron afectados por múltiples tipos de ransomware.
Hoy, Blinken dijo: “Los estados responsables no comprometen indiscriminadamente la seguridad de la red global ni albergan a sabiendas a los ciberdelincuentes, y mucho menos los patrocinan o colaboran con ellos. Estos piratas informáticos les cuestan a los gobiernos y las empresas miles de millones de dólares en propiedad intelectual robada, pagos de rescate y mitigación de la ciberseguridad. esfuerzos, todo mientras el MSS los tenía en su nómina”.
La UE y el Reino Unido condenan los ataques
La Unión Europea emitió un comunicado hoy diciendo que los ataques fueron “realizados desde el territorio de China con el propósito de espionaje y robo de propiedad intelectual”, pero no dijo que los atacantes fueran patrocinados por el estado.
“Seguimos instando a las autoridades chinas a que se adhieran a estas normas y no permitan que su territorio se utilice para actividades cibernéticas maliciosas, y tomen todas las medidas apropiadas y los pasos factibles y razonablemente disponibles para detectar, investigar y abordar la situación”, dijo la UE. .
La declaración del Reino Unido de hoy decía: “El Reino Unido se está uniendo a socios de ideas afines para confirmar que los actores respaldados por el estado chino fueron responsables de obtener acceso a las redes informáticas de todo el mundo a través de los servidores de Microsoft Exchange”. Más adelante en el comunicado, el Reino Unido dijo que su Centro Marketingdecontenido de Seguridad Cibernética “está casi seguro de que el compromiso de Microsoft Exchange fue iniciado y explotado por un actor de amenazas respaldado por el estado chino”, a saber, Hafnium, y que “era muy probable que el ataque permitiera grandes espionaje a gran escala, incluida la adquisición de información de identificación personal y propiedad intelectual”.
Según Associated Press, “un portavoz del Ministerio de Relaciones Exteriores de China ha desviado previamente la culpa por el hackeo de Microsoft Exchange, diciendo que China ‘se opone firmemente y combate los ataques cibernéticos y el robo cibernético en todas sus formas’ y advirtió que la atribución de los ataques cibernéticos debe basarse en evidencia y no ‘acusaciones sin fundamento'”.
Acusación
El Departamento de Justicia dijo que la campaña de piratería de 2011-2023 “se centró en víctimas en los Estados Unidos, Austria, Camboya, Canadá, Alemania, Indonesia, Malasia, Noruega, Arabia Saudita, Sudáfrica, Suiza y el Reino Unido” y robó secretos comerciales. investigaciones médicas y otra información confidencial:
Las industrias objetivo incluyeron, entre otras, aviación, defensa, educación, gobierno, atención médica, biofarmacéutica y marítima. Los secretos comerciales robados y la información comercial confidencial incluyeron, entre otras cosas, tecnologías sensibles utilizadas para sumergibles y vehículos autónomos, fórmulas químicas especiales, servicio de aviones comerciales, tecnología y datos de secuenciación genética patentados e información extranjera para apoyar los esfuerzos de China para asegurar contratos para el estado. -empresas de propiedad dentro Marketingdecontenido objetivo (por ejemplo, proyectos de desarrollo ferroviario de alta velocidad a gran escala). En institutos de investigación y universidades, la conspiración se centró en la investigación de enfermedades infecciosas relacionadas con el ébola, el MERS, el VIH/SIDA, Marburg y la tularemia.
Los cuatro ciudadanos chinos fueron acusados por un gran jurado federal en San Diego en mayo. La acusación fue revelada el viernes y “alega que gran parte del robo de la conspiración se centró en información que supuso un beneficio económico significativo para las empresas y los sectores comerciales de China, incluida información que permitiría eludir procesos de investigación y desarrollo prolongados y que requieren muchos recursos”. dijo el Departamento de Justicia.
“Estos cargos penales una vez más destacan que China continúa utilizando ataques cibernéticos para robar lo que hacen otros países, en flagrante incumplimiento de sus compromisos bilaterales y multilaterales”, dijo la fiscal general adjunta Lisa Monaco.
Tres de las cuatro personas acusadas, Ding Xiaoyang, Cheng Qingmin y Zhu Yunmin, eran oficiales del Departamento de Seguridad del Estado de Hainan (HSSD), un brazo del MSS de China, dijo el Departamento de Justicia. Ellos “buscaron ofuscar el papel del gobierno chino” en los ataques “estableciendo una empresa fachada, Hainan Xiandun Technology Development Co., Ltd.”, dijo el departamento. La cuarta persona acusada fue Wu Shurong, “un pirata informático que, como parte de sus funciones laborales en Hainan Xiandun, creó malware, pirateó sistemas informáticos operados por gobiernos, empresas y universidades extranjeros, y supervisó a otros piratas informáticos de Hainan Xiandun”, dijo el juez. Departamento dijo.
Aviso de EE. UU. sobre piratas informáticos patrocinados por el estado
El gobierno de EE. UU. también emitió hoy un aviso sobre las tácticas, técnicas y procedimientos utilizados por los atacantes patrocinados por el estado chino.
“El FBI y nuestros socios están decididos a interrumpir la actividad cibernética patrocinada por el estado chino cada vez más sofisticada que tiene como objetivo el personal y las organizaciones políticas, económicas, militares, educativas y de contrainteligencia de los Estados Unidos”, dijo el subdirector de la División Cibernética del FBI, Bryan Vorndran.