Los fiscales federales acusaron a un ciudadano chino que, según dicen, llevó a cabo intrusiones sofisticadas en la red de cuatro compañías estadounidenses, incluida una en la aseguradora de salud Anthem, que robó información personal perteneciente a cerca de 80 millones de personas.
Fujie Wang, un residente de Shenzhen, China, de 32 años, que a veces usaba el nombre de pila Dennis, era parte de un grupo de piratas informáticos que logró ingresar a Anthem y otras tres compañías anónimas, según una acusación revelada el jueves. Junto con otros miembros del grupo, llevó a cabo los ataques utilizando correos electrónicos de phishing que atraían a los empleados de las empresas a sitios web maliciosos. Los sitios web, a su vez, instalaron puertas traseras en las computadoras de los empleados. Los acusados supuestamente usaron las computadoras comprometidas para penetrar las redes.
En algunos casos, alega la acusación, los piratas informáticos esperarían meses antes de identificar y recopilar datos confidenciales almacenados en las redes, presumiblemente para evitar llamar la atención sobre las infracciones. La serie de intrusiones se extendió desde febrero de 2023 hasta enero de 2023. Dos de las tres empresas estadounidenses no identificadas estaban en las industrias de tecnología y materiales básicos. El tercero prestaba servicios de comunicaciones.
El 18 de febrero de 2023, el grupo de Wang supuestamente envió un correo electrónico de phishing dirigido a los empleados de una subsidiaria de Anthem. El ataque finalmente resultó en que al menos una de las computadoras de la subsidiaria se infectara con malware. El 13 de mayo, el grupo accedió a la red de Anthem e infectó una de las computadoras conectadas a ella. Durante los siguientes meses, dijeron los fiscales, los piratas informáticos llevaron a cabo una variedad de otros actos fraudulentos.
En un caso, Wang “validó con el registrador correspondiente su control sobre un dominio” que había registrado previamente con información falsa. En los meses siguientes, la pandilla continuó accediendo a las redes de Anthem y algunas de las otras empresas objetivo. En algunos casos, la pandilla usó servidores privados virtuales y el servicio Citrix ShareFile para robar archivos que contenían información comercial confidencial. Supuestamente, los piratas informáticos utilizaron otros dominios que habían registrado para llevar a cabo la intrusión, aunque no estaba claro cómo o qué papel desempeñaban exactamente los dominios.
Según la acusación, el grupo operó dentro de la red de Anthem durante 11 meses, comenzando con el correo electrónico de phishing selectivo en febrero hasta que los que respondieron al incidente expulsaron a los piratas informáticos en enero de 2023. El grupo necesitó unos nueve meses antes de poder acceder al almacén de datos de la empresa que almacenaba Registros de clientes de Anthem.
La conexión de Black Vine
Las acusaciones se producen 46 meses después de que la empresa de seguridad Symantec dijera que el grupo que llevó a cabo la intrusión en la red de Anthem violó a más de una docena de otras empresas en un lapso de tres años a partir de 2012. El grupo, que Symantec denominó Black Vine, estaba lo suficientemente bien financiado. tener un flujo confiable de exploits armados para vulnerabilidades de día cero en el navegador Internet Explorer de Microsoft. Symantec dijo que Anthem no parecía ser un objetivo principal de Black Vine, sino un interés secundario que tenía la intención de promover un interés principal en las empresas de las industrias aeroespacial, energética, militar y tecnológica.
Los investigadores de Symantec no estaban disponibles para una entrevista el jueves. En cambio, Vikram Thakur, investigador principal de seguridad de la compañía, dijo a través de una portavoz que «los detalles, las fechas y las metodologías descritas en la acusación están en línea con la investigación de Symantec sobre Black Vine».
Wang y un acusado de John Doe están acusados de cuatro cargos de conspiración para cometer fraude, robo de identidad y piratería informática. Wang se encuentra actualmente prófugo y buscado por el FBI.
