Una empresa israelí-estadounidense de ciberseguridad dijo el lunes que había descubierto una operación de piratería informática “masiva”, aparentemente dirigida por un grupo de piratas informáticos que se cree que está respaldado por China, que se había dedicado al robo de propiedad intelectual (PI) y al espionaje industrial en tres continentes.
Cybereason, con sede en Boston y oficinas en Tel Aviv, Londres y Tokio, afirmó que el grupo empleó métodos sofisticados y trabajó de forma escurridiza para atacar a empresas tecnológicas y manufactureras de Estados Unidos, Europa y Asia y robar información confidencial.
Assaf Dahan, director senior y jefe de investigación de amenazas de Cybereason, declaró a The Times of Israel que la red, conocida como Winnti Group (y también rastreada como APT41, Blackfly y Barium en los círculos de ciberseguridad) era “uno de los grupos más prolíficos y laboriosos del panorama de las ciberamenazas”, y se sabe que opera en nombre de intereses estatales chinos.
El grupo ha estado activo al menos desde 2010. Algunos miembros conocidos del grupo fueron acusados en 2020 por el Departamento de Justicia de EE.UU. de delitos informáticos contra unas 100 empresas de EE.UU. y otros países, entre ellas empresas de desarrollo de software, fabricantes de hardware informático, proveedores de telecomunicaciones y empresas de juegos.
Dahan dijo que la investigación de Cybereason mostró que el Grupo Winnti se dedicó al “robo de propiedad intelectual y al ciberespionaje a gran escala” desde al menos 2019, y posiblemente antes. Cybereason comenzó su investigación sobre las operaciones de espionaje industrial del grupo el año pasado, después de haber sido alertado por una de las empresas objetivo de que algo “raro” estaba en marcha en su red, dijo Dahan, que tiene su sede en Londres.
Explicó que los investigadores de Cybereason pudieron observar los esfuerzos del grupo por obtener datos sensibles como detalles de patentes y productos, códigos fuente, planos tecnológicos e instrucciones de fabricación en tiempo real.
“Su nivel de sigilo y sofisticación era muy alto”, dijo Dahan, quien describió el modus operandi del grupo en el contexto de esta operación de piratería informática específica como un “castillo de naipes” formado por varios componentes interconectados e interdependientes.
“Es un proceso de despliegue intrincado y complejo en el que todos los componentes tienen que funcionar juntos en un orden determinado. Es muy difícil de detectar porque cada componente [por sí solo] no parece malicioso. Es una forma inteligente de evadir la detección y funcionó: trabajaron sin ser detectados durante tres años”, dijo Dahan.
Durante el análisis, Cybereason pudo descubrir una “familia de malware” no documentada anteriormente, que incluía una nueva versión del malware Winnti llamada WINNKIT, que Dahan describió como una “herramienta cibernética muy avanzada de origen chino, probablemente de inteligencia militar”.
El malware permitió a los hackers llevar a cabo “el reconocimiento y el volcado de credenciales [para extraer múltiples contraseñas e información de acceso], lo que les permitió moverse lateralmente en la red”, según la investigación de Cybereason, que la empresa bautizó como Operación CuckooBees. El hackeo “permitió a los atacantes robar información altamente sensible de servidores críticos y puntos finales pertenecientes a partes interesadas de alto perfil.”
Dahan dijo que era difícil evaluar el alcance de los daños a las empresas atacadas.
Cybereason dijo que había informado a la Oficina Federal de Investigación (FBI) y al Departamento de Justicia sobre su investigación.
Los países occidentales, y en particular EE.UU. y Gran Bretaña, han acusado a lo largo de los años a China de operaciones de piratería informática a gran escala destinadas a sustraer grandes cantidades de datos, incluidos secretos comerciales e información científica, así como datos privados de los ciudadanos.
Un informe de Bloomberg del año pasado detalló cómo los agentes chinos fueron capaces de vulnerar grandes empresas mediante la explotación de un importante proveedor de tecnología estadounidense.
En 2018, las autoridades estadounidenses acusaron a dos presuntos piratas informáticos chinos que supuestamente actuaron en nombre de la principal agencia de inteligencia de Pekín para robar secretos comerciales y otra información de agencias gubernamentales y un quién es quién de las principales empresas de Estados Unidos y casi una docena de otras naciones. Entre los países señalados en la acusación estadounidense se encuentran Alemania, Brasil, Canadá, Emiratos Árabes Unidos, Finlandia, Francia, India, Japón, Suecia y Suiza.
El año pasado, Cybereason reveló en un informe separado que grupos de hackers chinos respaldados por el Estado comprometieron al menos cinco compañías de telecomunicaciones mundiales, robando registros telefónicos y datos de localización.
Fundada en 2012, Cybereason ha recaudado más de 700 millones de dólares en capital durante la última década con inversores como GV, anteriormente conocido como Google Ventures y el brazo de capital de riesgo de Alphabet, Softbank, CRV, Spark Capital, Lockheed Martin y Liberty Strategic Capital, la firma de capital privado creada a principios de 2021 por el exsecretario del Tesoro de Estados Unidos, Steven Mnuchin.
Cybereason utiliza el análisis del comportamiento y el aprendizaje automático para procesar la información en tiempo real y proporcionar una detección y respuesta ampliada (XDR). El software puede indicar a las empresas si están siendo atacadas, evaluar el impacto y actuar para detener la amenaza, según el sitio web de la empresa.
Se dice que Cybereason ha presentado confidencialmente una oferta pública inicial (OPI) en febrero que podría valorar la empresa en más de 5.000 millones de dólares.