La portada de mañana
Acceder
Alemania toma el pulso a una extrema derecha envalentonada
La carpeta de Junts que atasca la mayoría de Sánchez
Opinión | Ya empezamos, por Antón Losada

Cómo China copió, reescribió y utilizó las herramientas de hackeo de la NSA contra EEUU

Buckeye, APT3 o UPSTeam. Son distintas formas de llamar al mismo grupo de hackers chinos que copiaron y mejoraron las herramientas de la agencia de seguridad estadounidense (NSA) incluso antes de que se hicieran públicas en Internet en diciembre del 2016. No solo eso: una vez que mejoraron el código de los americanos, lo usaron para atacar las redes vulnerables de estos sin apenas esfuerzo y de forma mucho más barata. Son las principales conclusiones que se extraen de un informe de ciberseguridad de la firma Check Point y que apunta a que la guerra comercial entre ambos países también se libra en la Red.

El principio de la historia se remonta a finales de 2016. Entonces, los hackers de The Shadow Brokers publicaron en Internet un pack que supuestamente pertenecía a la NSA y en el que había de todo: desde herramientas de hackeo y recolección de datos, exploits, software de fuerza bruta y RATs (otro tipo de software de espionaje que permite controlar el dispositivo a distancia y encender la webcam o el micrófono del ordenador, entre otras cosas) hasta información sobre vulnerabilidades en páginas web y programas. Se las habían robado a Equation Group, otro grupo de hackers afín a la NSA según los expertos.

El año pasado, la compañía de ciberseguridad Symantec publicó cómo Buckeye (o APT3 o UPSTeam) llevaban utilizando esas mismas herramientas desde antes incluso de la filtración de The Shadow Brokers. También daban a entender que los chinos habían desarrollado sus propias herramientas e incorporado los ataques de día cero contra Windows (explotación de una vulnerabilidad conocida de antemano por los atacantes en una red o programa) a su repertorio. ¿Que cómo lo hicieron? Copiando el código con el que fueron atacados.

“Muy probablemente lo que han hecho ha sido utilizar los ataques que han visto en una red que tenían controlada”, explica a eldiario.es Eusebio Nieva, director técnico de Check Point. Nieva ofrece dos posibles maneras por las que los chinos se hicieron con las herramientas: “Bien porque se trate de una red que ha atacado la NSA o quién sea o bien porque se ha utilizado ese ataque en un servidor que ellos [los chinos] previamente habían atacado y tenían control sobre él”, continúa.

La ingeniería inversa del ¿gobierno chino?

Check Point ha conseguido demostrar la teoría de Symantec sobre la reutilización del código del malware por parte de los chinos. “APT3 recreó su propia versión de un exploit de Equation Group usando y capturando tráfico de red”, explica la firma de ciberseguridad en su informe. “Creemos que este artefacto fue recolectado durante un ataque realizado por Equation Group contra una red monitoreada por APT3, lo que les permitió mejorar su arsenal de ataques con una fracción de los recursos necesarios para construir la herramienta original”, explican.

Dos investigaciones independientes (una llevada a cabo por la compañía de ciberseguridad Recorded Future y otra por Intrusion Truth) señalan que detrás de APT3 podría estar el ministerio de Seguridad del Estado chino. En concreto, relacionan el nombre con el de un contratista chino, Boyusec, desmantelado tras la publicación de otro artículo en la web de Intrusion Truth.

El programa creado por los hackers chinos a partir de las herramientas de la NSA tiene nombre, Bemstour, y es bastante similar a EternalRomance, uno de los exploits originales dentro del paquete de Equation Group. Según Check Point, Bemstour sería una mezcla entre este y EternalSynergy, también creado por la NSA. La firma de ciberseguridad asegura que el código entre ambos es casi idéntico, con la particularidad de que mientras el de la NSA requiere de una librería específica para crear los paquetes que servirán para el ataque, en el de los chinos los paquetes están “hechos a mano por los desarrolladores”.

“La conclusión es que China y EEUU se encuentran en una carrera ciberarmamentística que no hay que despreciar. Y al final, tanto los unos como los otros están utilizando todos los mecanismos a su alcance, incluyendo la copia: se están copiando los unos a los otros”, concluye Nieva.