El pirateo cibernético de China afecta obviamente a las empresas que hacen negocios en China o con China, pero cada vez es más evidente que también afecta a las empresas sin conexiones comerciales directas con China. En este artículo se explican los objetivos del gobierno chino en materia de piratería cibernética, cómo la lleva a cabo y por qué es prácticamente imposible que las empresas extranjeras eviten ser pirateadas por el gobierno chino o luchen contra él.
En The Chinese Government is Accessing YOUR Network Through the Backdoor and There Still is NO Place to Hide, explicamos cómo los bancos chinos exigen a los titulares de sus cuentas -incluidas todas las empresas extranjeras en China- que instalen un malware que permite al gobierno chino ver todos los datos de los titulares de las cuentas. En China Malware: Sorry, Techno Geeks, There Still is no Place to Hide, explicamos cómo el propio "gobierno chino es el pirata informático y no permitirá que ningún técnico extranjero o nacional proporcione servicios que acaben con los objetivos finales del pirata informático".
A. El Gobierno chino es el hacker
El objetivo básico del concepto de Seguridad Nacional Integral de la RPC (总体国家安全)) en el ámbito de las redes es que toda la comunicación e información de la red esté abierta y disponible para el gobierno chino, al tiempo que se bloquea el acceso a partes ajenas al Estado. En consonancia con este concepto, el gobierno trata de garantizar que toda la actividad de la red llevada a cabo dentro de China sea transparente para el Estado. Este programa se aplica a todas las personas (físicas o jurídicas) que operan dentro de las fronteras de la RPC (y ahora Hong Kong y Macao). Si usted opera en China, debe asumir que todos sus datos y comunicaciones en red están sujetos a captura por parte del gobierno chino. Ya no se concede ningún estatus privilegiado a las empresas con inversión extranjera ni a los ciudadanos extranjeros; una vez dentro de las fronteras de la RPC, su tratamiento es el mismo que el de las empresas nacionales y los ciudadanos chinos. Al igual que ocurre con cualquier ciudadano chino, no hay lugar donde esconderse.
¿Cómo aplica el gobierno chino este programa? El punto clave es que el gobierno chino es el hacker. Cuando el hacker participa directamente en la creación y vigilancia de Internet y es el agente clave para la aplicación de la ciberseguridad, es axiomático que no habrá protección contra las actividades de intrusión en la red/recopilación de datos de ese hacker. El hacker dicta cómo funcionará el sistema y, por supuesto, no ofrece ninguna protección contra sus propias actividades.
B. Corporación Aisino
Este hecho básico queda ilustrado por el programa malicioso Golden Spy/Golden Helper que se analiza a continuación. Trustwave informa de que la aplicación de software Golden Spy fue escrita por Aisino Corporation: (Aerospace Information Joint Stock LLC. - 航天信息股份有限公司) , una empresa de TI que cotiza en bolsa especializada en seguridad de la información. El sitio web de Aisino afirma que es propiedad de la empresa estatal CASIC (China Aerospace Science & Industry Corporation Limited - 中国航天科工集团公司). Véase GoldenSpy Capítulo 4: Malware GoldenHelper incrustado en el software oficial Golden Tax.
CASIC es el principal fabricante de misiles y dispositivos aeroespaciales de la RPC. Vende sistemas de misiles a Corea del Norte y colabora estrechamente con el ejército ruso. Como proveedor de armamento, es una empresa estatal (SOE) directamente bajo el control del gobierno de la RPC y del Partido Comunista Chino (PCC). Es decir, es el gobierno. Recientemente, como parte del plan de la RPC para promover el desarrollo autóctono de las operaciones de red y la computación en nube, CASIC entró en el negocio de las redes comerciales a través de Aisino, su filial que había estado activa en el procesamiento de pagos y otros sistemas de contabilidad. La elaboración por parte de Aisino del software fiscal Golden Shield y la implantación del sistema relacionado forman parte de ese proceso.
C. El malware Golden Spy/Golden Helper
El hecho de que Aisino redactara el malware Golden Spy significa que el gobierno de la RPC redactó este malware. En pocas palabras, el gobierno de la RPC es el hacker y este hacker está protegido de cualquier responsabilidad derivada de su actividad de piratería cibernética. Esta es la razón por la que Aisino empleó un sistema de troyano burdo y fácil de identificar para este malware. No corre ningún riesgo de que lo descubran, lo castiguen o lo retiren.
Algunos nos han comentado a nosotros y a los profesionales de la seguridad que una intrusión tan obvia demuestra de algún modo que el gobierno de la RPC no puede estar detrás del programa malicioso. ArsTechnica respondió a este tipo de comentarios en términos claros:
Comentario de un lector: "El uso de un descargador de troyanos no es sutil".
Respuesta de ArsTechnica: En cuanto a que sea menos sutil... un malware como este no es sutil según los estándares que estás aplicando aquí, así que es un argumento extraño. También es un poco extraño que pienses que al gobierno chino le importa la sutileza cuando estamos hablando de software que se distribuye por mandato gubernamental dentro de su país. Como... ¿qué, las autoridades chinas van a tomar medidas enérgicas contra ellos?
Esta es la situación en la RPC. Como aclara Arstechnica, cuando el malware o la recopilación ilícita de datos la realiza el propio gobierno, no hay remedio ni escapatoria. El gobierno chino y su grupo afín de hackers no necesitan ser sutiles ni ocultar sus huellas cuando operan dentro de las fronteras de la RPC.
D. Uso forzado de software gubernamental que contiene malware
El malware Golden Spy/Golden Helper incluido en el software de pago de impuestos exigido por el gobierno de la RPC es un ejemplo de este método. Tras su informe inicial sobre este asunto, Trustwave ha publicado una serie de informes sobre este malware y sobre la respuesta de Aisino ante las revelaciones públicas relativas a este software. Ver GoldenSpy: Capítulo Dos - El desinstalador, GoldenSpy Capítulo 3: Nuevo y mejorado desinstalador, y GoldenSpy Capítulo 4: Malware GoldenHelper incrustado en el software oficial Golden Tax. Estos informes de Trustwave deberían ser de lectura obligatoria para cualquier empresa extranjera que planee operar un negocio en China.
Los informes de seguimiento de Trustwave revelan los tres aspectos clave siguientes;
En primer lugar, Aisino utilizó el sistema de actualización automática del software Golden Spy para propagar un desinstalador que eliminaba el malware y cualquier archivo u otro rastro de su existencia. Sin embargo, su programa de desinstalación sigue proporcionando un portal a los sistemas de los usuarios que puede utilizarse para descargar malware u otro software no autorizado en cualquier momento. Un sistema limpio hoy puede estar infectado mañana. Esto significa que este software es una fuente constante de riesgo.
En segundo lugar, Trustwave descubrió un programa malicioso relacionado pero independiente oculto en el software Golden Tax. Este malware, apodado Golden Helper, estuvo activo en 2018 y 2019. A partir de esto, Trustwave concluye razonablemente que el programa malicioso del software de impuestos no es una innovación reciente, sino que ha estado en funcionamiento durante varios años al menos.
En tercer lugar, Trustwave confirmó nuestra descripción anterior de la técnica utilizada por los bancos chinos para distribuir el software Golden Tax y su carga maliciosa:
Durante nuestra investigación, hemos sido informados de que el software Golden Tax puede estar desplegado en su entorno como un sistema autónomo proporcionado por el banco. Varias personas afirman haber recibido un ordenador real con Windows 7 (edición Home) con este software Golden Tax (y GoldenHelper) preinstalado y listo para usar. Este mecanismo de despliegue es una interesante manifestación física de un troyano.
Ver GoldenSpy Capítulo 4: Malware GoldenHelper incrustado en el software oficial Golden Tax.
La descripción de Trustwave es básicamente la misma que escribimos anteriormente en nuestro blog, incluso en lo que respecta al uso del sistema operativo Windows 7. Ver El gobierno chino está accediendo a su red a través de la puerta trasera y todavía no hay lugar para esconderse y China Malware: Lo sentimos, geeks de la tecnología, todavía no hay lugar para esconderse,
Cuando escribimos anteriormente sobre este prevalente e imparable ciberhackeo chino, recibimos comentarios de que nada de esto podía ser correcto porque significaría la proliferación de sistemas informáticos comprometidos. A las personas que no trabajan en la RPC les parece extraño que el gobierno de la RPC exija a las empresas que utilicen un sistema informático inseguro. Pero no es extraño si tenemos en cuenta los objetivos del gobierno. Un sistema comprometido es fácil de piratear. El gobierno es el hacker, así que se lo pone fácil a sí mismo. Los bancos pueden desconocer los detalles del malware y del sistema comprometido; el personal del banco se limita a seguir órdenes.
E. Uso de hardware de red con puertas traseras instaladas
Hace tiempo que se supone que el hardware de red fabricado en la RPC está repleto de puertas traseras que permiten la intrusión no autorizada del gobierno chino, y un informe reciente confirma esta suposición. Según informa ZDNet, un grupo de investigación ha encontrado siete casos distintos de malware/puertas traseras en dispositivos de conexión de cable de fibra óptica de redes críticas. Véase Descubiertas cuentas de puerta trasera en 29 dispositivos FTTH del proveedor chino C-Data. ZDNet describe estas puertas traseras intencionadas de la siguiente manera:
Dos investigadores de seguridad han declarado esta semana que han encontrado graves vulnerabilidades y lo que parecen ser puertas traseras intencionadas en el firmware de 29 dispositivos FTTH OLT del conocido proveedor C-Data. El término FTTH OLT hace referencia a los equipos de red que permiten a los proveedores de servicios de Internet acercar al máximo los cables de fibra óptica a los usuarios finales.
Como su nombre indica, estos dispositivos son la terminación de una red de fibra óptica, ya que convierten los datos de una línea óptica en una conexión de cable Ethernet clásica que se enchufa en el hogar de un consumidor, en centros de datos o en centros empresariales. Estos dispositivos están ubicados por toda la red de un ISP y, debido a su papel crucial, son también uno de los tipos de dispositivos de red más extendidos hoy en día, ya que tienen que ubicarse en millones de puntos finales de terminación de red de todo el mundo.
La simple evaluación de este malware es que no puede ser más malo.
C-Data, el proveedor identificado aquí, es una fuente importante de este tipo de hardware dentro de la RPC. La conclusión es que si esta empresa se siente libre para incluir este sistema de puerta trasera en los productos que vende fuera de la RPC, sin duda no tiene restricciones para hacer lo mismo dentro de China. Esto significa entonces que cualquier empresa extranjera que opere en China debe asumir que su conexión a Internet está completamente comprometida por este tipo de malware/puerta trasera en todo su sistema de red. Si no está incluido en su sistema de oficina, es casi seguro que está incluido a nivel de ISP o proveedor de nube.
Este sistema lo instalan proveedores de telecomunicaciones que son propiedad o están controlados por el gobierno de la RPC. Una vez más, es el hacker -el gobierno chino- el que instala el sistema y es el hacker el que entra en los sistemas de red de las empresas a través de estas puertas traseras.
F. Uso de software antivirus exigido por la RPC
Una de las principales directivas del nuevo régimen de la Ley de Ciberseguridad de la RPC es el requisito de que los usuarios conectados a la red utilicen un software antivirus proporcionado por el gobierno chino. Piense en esto un minuto: el gobierno chino exige a las empresas que utilicen únicamente el software "antivirus" que proporciona. Este software antivirus proporciona una plataforma conveniente para que los hackers del gobierno chino entren en la red informática del usuario, pero sin duda también está programado para no revelar el malware del gobierno chino.
Los riesgos de un software antivirus pirateado son bien conocidos en los círculos de ciberseguridad. En Former U.S. spies say antivirus software makes for a perfect espionage platform, Cyberscoop analiza cómo el software antivirus es ideal para el espionaje:
Dado que la mayoría de los proveedores de antivirus han diseñado sus productos para buscar de forma autónoma virus informáticos en los sistemas de los usuarios escaneando directamente los archivos y enviando luego esos datos a un servidor para su análisis, el software es muy intrusivo por naturaleza.
Aparte de los riesgos remotos, los antivirus pueden ampliar la superficie de ataque de un host", afirma Blake Darche, antiguo analista de explotación de redes informáticas de la NSA. "Si un atacante puede acceder al servidor central de antivirus dentro de la red de una organización, ese servidor central puede utilizarse para la distribución de malware".
Las actualizaciones de software, que pueden ayudar a parchear errores u otros problemas en un producto, añaden otro vector de ataque porque proporcionan una vía de confianza para la introducción remota de código en ordenadores de todo el mundo.
Los piratas informáticos chinos están muy familiarizados con el uso de software antivirus para este fin. Véase: Una investigación afirma que el ataque a CCLeaner lo llevó a cabo un grupo vinculado a China.
Dentro de la RPC, el uso de software antivirus obligatorio de la RPC eleva aún más los riesgos de pirateo cibernético en China. Dentro de la RPC, no hay necesidad de un pirateo remoto. El propio pirata informático (el gobierno chino) proporciona a las empresas lo que es esencialmente un sistema ya pirateado.
Este sistema previamente pirateado tiene dos efectos principales. En primer lugar, el sistema no servirá de pantalla contra el malware creado por el gobierno de la RPC. En segundo lugar, el sistema servirá como vector para insertar un flujo continuo de malware proporcionado por el gobierno de la RPC y sus socios.
Imaginemos una situación paralela en Estados Unidos: la NSA y el FBI son los únicos proveedores de software antivirus. Este software podría ser eficaz para filtrar el malware de delincuentes y agentes extranjeros. Pero nadie esperaría que ese software protegiera a los usuarios de las intrusiones de la NSA o el FBI. Sería una tontería. Más tonto aún es creer lo mismo de la República Popular China y su software antivirus impuesto por el gobierno.
G. Pasar del correo electrónico a WeChat
Después de que el gobierno chino prohibiera Gmail en China, las agencias gubernamentales chinas empezaron a presionar a las empresas extranjeras para que se comunicaran utilizando servicios de correo electrónico aprobados por la RPC. Estos servicios no funcionan bien y son ampliamente conocidos por su inseguridad. Por eso, la mayoría de las empresas extranjeras siguieron utilizando proveedores alternativos de correo electrónico estadounidenses y europeos. Estos servicios son relativamente seguros frente a la interceptación de mensajes por parte de los chinos. El correo Proton y otros sistemas con cifrado de extremo a extremo son bastante seguros en China.
El gobierno chino podría haber dado un paso más bloqueando el acceso a todos los proveedores de correo electrónico extranjeros. Pero las agencias chinas han adoptado un enfoque más creativo. Ahora que el gobierno chino ha asumido esencialmente el control total de WeChat, las agencias chinas fuerzan todas las comunicaciones a la aplicación WeChat. Si envías un correo electrónico a tu banco, éste no responderá. Si envías un correo electrónico a la agencia tributaria local, no responderá. Si envía un correo electrónico al departamento de policía local sobre la situación de su visado, no responderá. Lo mismo ocurre con los tribunales chinos, que suelen respondernos simplemente pidiéndonos que nos comuniquemos con ellos a través de WeChat. Lo mismo ocurre con la presentación de documentos. Los organismos gubernamentales chinos casi siempre exigen que los documentos se envíen adjuntos por WeChat en lugar de por correo electrónico.
Esto significa pasar de una seguridad adecuada a la ausencia total de seguridad. Así lo demuestra la reciente clasificación de Amnistía Internacional de las aplicaciones de mensajería instantánea. Amnistía Internacional calificó las 11 principales aplicaciones de mensajería en función de su uso de la encriptación y la protección de la privacidad del usuario en una escala de 0 a 100. Facebook recibió la calificación más alta, 73 puntos. Facebook recibió la puntuación más alta, 73 puntos. WeChat recibió una puntuación de cero. En otras palabras, Amnistía Internacional llegó a la conclusión de que WeChat no ofrece literalmente ninguna protección frente a la piratería cibernética de China. Ninguna. Nada. Cero. Nada. 没有. Ver ¿SÓLO PARA SUS OJOS? Clasificación de 11 empresas tecnológicas en materia de encriptación y derechos humanos.
Este cambio forzado a una plataforma de comunicación completamente insegura se hizo de la manera típica de CCP. No hay ninguna ley o reglamento que diga que el correo electrónico basado en el extranjero esté prohibido. No hay ninguna ley o reglamento que diga que es obligatorio utilizar un WeChat completamente inseguro. La "norma" se impone en la práctica. Si envías un correo electrónico, no te lo devolverán. Si llamas o visitas una agencia gubernamental para quejarte, la respuesta es: "Usa WeChat. Todo el mundo lo hace. Usted también debería". Y así se impone la norma, sin obligación por parte de las autoridades chinas de formalizarla o publicarla.
Conclusión
Nuestro objetivo con nuestros posts sobre ciberseguridad en China es describir la realidad sobre el terreno de la ciberseguridad para las empresas extranjeras que operan en China. Como han visto, el gobierno chino es el hacker, por lo que puede tener pleno acceso a toda la información sobre las entidades extranjeras que operan en su entorno, desde la información crítica relativa a tecnologías protegidas hasta los hechos más mundanos sobre las actividades diarias de la empresa extranjera y sus empleados. En nuestro mundo digitalizado, esa información está disponible en los sistemas informáticos y las comunicaciones en red de la entidad de propiedad extranjera.
El gobierno chino obtiene la información que desea utilizando las técnicas que hemos descrito. De hecho, sólo hemos esbozado un subconjunto de las diversas técnicas que utiliza para acceder a la información.
Por supuesto, el gobierno chino anima a las entidades de propiedad extranjera a protegerse de los piratas informáticos criminales y de las intrusiones llevadas a cabo por sus competidores empresariales no estatales. Según la nueva normativa cibernética, esta forma de autoprotección es legalmente obligatoria para las empresas que operan en sectores críticos.
Pero la otra cara de este requisito es que el gobierno chino no permite ninguna protección contra su propia adquisición de esa misma información. Los intentos de bloquear el acceso del gobierno chino son inútiles. Se puede bloquear un vector de ataque en un caso de infección. Pero, en la práctica, no es posible defenderse de los ataques de un gobierno de la RPC que utiliza un conjunto completo de técnicas de penetración de piratería cibernética. La única cuestión es si el gobierno chino está interesado o no. Si están interesados, tendrán éxito. No hay lugar donde esconderse.
