Más Información
Bangkok. Un grupo de hackers que se cree está patrocinado por el estado chino ha comprometido dos sitios web vinculados a la comunidad tibetana en un ataque destinado a instalar malware en las computadoras de los usuarios, según los hallazgos publicados el miércoles por una firma privada de ciberseguridad.
El ataque a los sitios web de Tibet Post y la Universidad Tántrica Gyudmed parece buscar acceso a las computadoras de las personas que los visitan para obtener información sobre ellas y sus actividades, según el análisis del Insikt Group, la división de investigación de amenazas de la consultora de ciberseguridad con sede en Massachusetts Recorded Future.
Los hackers, descritos en el informe como TAG-112, comprometieron los sitios web de modo que los visitantes son inducidos a descargar un archivo ejecutable malicioso disfrazado de certificado de seguridad, dijo Insikt Group.
Una vez abierto, el archivo carga el malware Cobalt Strike Beacon en la computadora del usuario que puede ser utilizado para registrar lo que teclea, transferir archivos y otros propósitos, incluyendo la instalación de malware adicional.
Lee también Microsoft prohibirá a sus trabajadores usar celulares Android
“Aunque no tenemos visibilidad sobre la actividad que TAG-112 llevó a cabo en los dispositivos comprometidos en esta campaña, dado su probable mandato de ciberespionaje y el enfoque en la comunidad tibetana, es casi seguro que estaban involucrados en la recolección de información y/o vigilancia en lugar de ataques destructivos”, dijo Jon Condra, director senior de Insikt Group, a The Associated Press.
“Este comportamiento está en línea con el enfoque histórico hacia la comunidad tibetana”, dijo.
China niega supuesto patrocinio para ciberataques
Las autoridades chinas han negado consistentemente cualquier forma de ciberataque patrocinado por el estado, y afirman que la propia China es un objetivo principal de ciberataques.
Lee también México, en el Top 5 de países con mayores amenazas cibernéticas en Latinoamérica: informe
El Ministerio chino de Relaciones Exteriores dijo que no estaba al tanto del hackeo de los dos sitios web reportado por Insikt Group.
“La postura de China sobre el tema de la ciberseguridad es consistente y clara”, dijo el ministerio en una respuesta por fax a una solicitud de comentarios, sin dar más detalles.
Según la investigación del grupo Insikt, los sitios fueron comprometidos por primera vez a finales de mayo y los ataques tienen muchas similitudes con la actividad de un grupo de hackers identificado en el pasado y conocido como TAG-102, lo que lleva a los analistas a concluir que es un subgrupo del grupo ya conocido “trabajando hacia los mismos o similares requisitos de inteligencia”, dijo Insikt Group.
Lee también Estados Unidos no quiere más presencia de China en México
Las similitudes incluyen la reutilización de tácticas, técnicas y procedimientos específicos y el ataque a objetivos idénticos, dijo Condra.
“Estos dos grupos de amenazas están casi seguramente interrelacionados”, dijo.
TAG-102, conocido también por múltiples nombres como Evasive Panda y StormBamboo, está en funcionamiento al menos desde 2012, y está ampliamente considerado como un grupo de amenaza persistente avanzada, o APT, patrocinado por China, dijo Insikt Group.
Lee también ¿Cómo andamos en materia de ciberseguridad?
Entre otras cosas, utiliza estructuras de malware personalizadas que emplean otros grupos de hackers chinos y su enfoque “está en línea con los probables requisitos de inteligencia chinos”, dijo Condra.
“El grupo ha participado en una amplia variedad de campañas a lo largo de los años, con énfasis en el enfoque en individuos y organizaciones en oposición al gobierno chino, como organizaciones de derechos humanos, organizaciones religiosas, grupos étnicos minoritarios, instituciones académicas y partidarios de movimientos democráticos o de independencia en Taiwán, Hong Kong, e incluso en la China continental”, dijo Insikt Group.
La universidad y el sitio web de noticias, ambos ubicados en India, fueron informados por Insikt Group del hackeo. A partir de esta semana, parece que la Universidad Tántrica Gyudmed, que es un centro de aprendizaje sobre el budismo, el idioma, la historia y la cultura tibetanas, ha remediado el problema, mientras que el sitio web de noticias permaneció comprometido, dijo Condra.
ss/mcc
