FireEye dio a conocer un nuevo reporte titulado “Red Line Drawn: China Recalculates its Use of Cyber Espionage”, referente a la evolución del ciberespionaje de China hacia estados y organizaciones occidentales, principalmente Estados Unidos.
Para investigar esto, FireEye iSIGHT Intelligence revisó la actividad de 72 grupos sospechosos de operar en China o apoyar los intereses del Estado Chino. Retrocediendo tres años y medio a principios de 2013, el análisis condujo aevaluar un amplio rango de fuerzas políticas, económicas y de otros tipos que estaban contribuyendo al cambio de las ciberoperaciones chinas más de un año antes del acuerdo Xi-Obama, que contempla que ninguno de los gobiernos “realizará o apoyará intencionalmente robos cibernéticos de propiedadintelectual para obtener ventajas económicas”.
Así, entre septiembre de 2015 y junio de 2016 se observaron 13 grupos basados en China realizar actividades para poner en peligro redes de corporaciones en E.U., Europa y Japón, mientras que otros grupos atacaron organizaciones en Rusia y la región de Asia-Pacífico. Sin embargo, desde mediados del 2014 se observó un decremento general en ataques exitosos contra redes por parte de estos grupos contra organizaciones en E.U. y otros 25 países. Estos cambios coinciden con las reformas políticas y militares en China, una exposición general de las ciberactividades chinas y una acción sin precedentes por parte del gobierno de E.U.
- Hallazgos clave
13 grupos que se sospecha están basados en China han puesto en peligro redes corporativas en E.U., Europa yJapón, así como entidades de gobierno, militares y comerciales de países alrededor de China. - Desde 2014 hay una notable disminución de grupos basados en China en las actividades de intrusión totales contra entidades de E.U. y otros 25 países.
- Desde su llegada al poder, el Presidente Xi Jinping ha hecho reformas militares importantes para centralizar los ciber elementos de China y apoyar un mayor uso de operaciones en red.
- Los reportes públicos en los últimos años han puesto en evidencia las ciberoperaciones chinas de espionaje, lo que ha dado soporte al gobierno de E.U. para confrontar a China públicamente por estos hechos.
- Desde 2014 el gobierno de E.U. ha tomado medidas sin precedentes en respuesta a las reclamaciones de espionaje económico cibernético de Beijing, lo que tal vez llevó a los chinos a reconsiderar sus operaciones en redes.
- No se ha obtenido evidencia de un cambio coordinado en el comportamiento de los grupos activos basados en China, los cambios tácticos parecen ser específicos de la misión y recursos de cada grupo y en respuesta a su exposición pública de sus ciber-operaciones.
FireEye examinó la incidencia de los ataques a redes por actores basados en China desde 2013, detectando en ese periodo 262 ataques a redes (definidos como una entrada exitosa a la red de la víctima) llevados a cabo por 72 grupos que se sospecha están basados en China. De los 262 incidentes, 186 fueron contra redes de entidades de E.U. y 80 contra entidades de Europa, Israel, Taiwán, Corea, Brasil, Arabia Saudita, Colombia, Singapur, Egipto, India, Túnez y Australia.
La empresa señala que atribuir una ciberactividad a una región geográfica es complejo ya que nunca ha encontrado evidencia contundente o in fraganti, por lo que se debe confiar en la acumulación de piezas de evidencia en cantidad suficiente en el tiempo. Así, conforme se descubrieron conjuntos de actividad específicos se ubicaron ligas que muestran cosas comunes entre estos conjuntos, lo que permite valorar que los mismos actores están detrás de dos grupos distintos. Algunos factores aconsiderar cuando se evalúa la localización de un grupo y su patrocinador potencial incluyen operaciones; tácticas, técnicas y procedimientos (TTPs);detalles operacionales y motivación.
El reporte concluye que aunque a mitad de 2016 la amenaza es menos voluminosa que hace tres años, si es más enfocada, calculada y exitosa en comprometer redes corporativas. Alerta que en lugar de ver el acuerdo Xi-Obama como un parteaguas, se debe pensar que solo fue un punto entre los cambios dramáticos que se han llevado a cabo en estos años, incluyendo las iniciativas militares y políticas del presidente Xi, la amplia exposición de las ciberoperaciones chinas y la creciente presión del gobierno de E.U.
Aunque China no es el único actor en la transición, se ha observado a múltiples grupos apoyados por estados y con recursos adecuados, desarrollar y perfeccionar sus operaciones contra redes de gobierno y corporativas. El paisaje que vemos hoy es mucho más complejo y diverso, menos dominado por las actividades chinas y cada vez más poblado por muchos otros actores criminales y de estado.