En The Chinese Government is Accessing YOUR Network Through the Backdoor and There Still is NO Place to Hide, expliqué cómo los bancos chinos están exigiendo a los titulares de sus cuentas -incluidas todas las empresas extranjeras en China- que instalen un malware que permite al gobierno chino ver todos los datos de los titulares de las cuentas. En China Malware: Sorry, Techno Geeks, There Still is no Place to Hide, expliqué cómo, "en China, el propio gobierno es el hacker y no permitirá que ningún técnico extranjero o nacional proporcione servicios que frustren los objetivos finales del hacker".
Las cuatro formas básicas en que China accede a las redes y datos de empresas extranjeras
En este post, explicaré cómo China, actuando como hacker de un Estado-nación, logra sus objetivos en el sector de las redes exponiendo las cuatro formas básicas en que el gobierno de la RPC obtiene acceso a las redes de empresas extranjeras y a los datos de éstas.
1. Uso forzoso de software gubernamental que contiene malware
El malware Golden Spy/Golden Helper incluido en el software de pago de impuestos exigido por el gobierno de la RPC es un ejemplo de este método. Tras su informe inicial sobre este asunto, Trustwave ha publicado una serie de informes sobre este malware y sobre la respuesta de Aisino ante las revelaciones públicas relativas a este software. Ver GoldenSpy: Capítulo Dos - El desinstalador, GoldenSpy Capítulo 3: Nuevo y mejorado desinstalador, y GoldenSpy Capítulo 4: Malware GoldenHelper incrustado en el software oficial Golden Tax. Estos informes de Trustwave deberían ser de lectura obligatoria para cualquier empresa extranjera que planee operar un negocio en China.
Los informes de seguimiento de Trustwave revelan los tres aspectos clave siguientes;
En primer lugar, Aisino utilizó el sistema de actualización automática del software Golden Spy para propagar un desinstalador que eliminaba el malware y cualquier archivo u otro rastro de su existencia. Su software utiliza un procedimiento de actualización estándar que puede utilizarse para descargar malware u otro software no autorizado en cualquier momento. Un sistema limpio hoy puede estar infectado mañana. Esto significa que este software es una fuente constante de riesgo.
En segundo lugar, Trustwave descubrió un programa malicioso relacionado pero independiente oculto en el software Golden Tax. Este malware, apodado Golden helper, estuvo activo en 2018 y 2019. A partir de esto, Trustwave concluye razonablemente que el programa malicioso del software de impuestos no es un evento reciente, sino que ha estado activo durante varios años al menos.
En tercer lugar, Trustwave confirmó mi anterior descripción de la técnica utilizada por los bancos chinos para distribuir el software Golden Tax y su carga maliciosa:
Durante nuestra investigación, hemos sido informados de que el software Golden Tax puede estar desplegado en su entorno como un sistema autónomo proporcionado por el banco. Varias personas afirman haber recibido un ordenador real con Windows 7 (edición Home) con este software Golden Tax (y GoldenHelper) preinstalado y listo para usar. Este mecanismo de despliegue es una interesante manifestación física de un troyano.
Ver GoldenSpy Capítulo 4: El malware GoldenHelper incrustado en el software oficial de Golden Tax.
La descripción de Trustwave es básicamente la misma que escribí anteriormente aquí, incluso hasta el uso del sistema operativo Windows 7. Ver El Gobierno Chino está Accediendo a SU Red a Través de la Puerta Trasera y Todavía NO Hay Lugar para Esconderse y Malware de China: Sorry, Techno Geeks, There Still is no Place to Hide,
Cuando escribí anteriormente sobre este prevalente e imparable hackeo de la RPC, recibimos comentarios de que nada de esto podía ser correcto porque significaría la proliferación de sistemas informáticos comprometidos. A las personas que no trabajan en la RPC les parece extraño que el gobierno de la RPC exija a las empresas que utilicen un sistema informático inseguro. Pero no es extraño si tenemos en cuenta los objetivos del gobierno. Un sistema comprometido es fácil de piratear. El gobierno es el hacker, así que se lo pone fácil a sí mismo. Los bancos pueden desconocer los detalles del malware y del sistema comprometido; el personal del banco se limita a seguir órdenes.
2. Uso de hardware de red con puertas traseras instaladas
Hace tiempo que se supone que el hardware de red fabricado en la RPC está repleto de puertas traseras que permiten la intrusión no autorizada del gobierno chino, y un informe reciente confirma esta suposición. Según informa ZDNet, un grupo de investigación ha encontrado siete casos distintos de malware/puertas traseras en dispositivos de conexión de cable de fibra óptica de redes críticas. Véase Descubiertas cuentas de puerta trasera en 29 dispositivos FTTH del proveedor chino C-Data.
ZDNet describe estas puertas traseras intencionadas de la siguiente manera:
Dos investigadores de seguridad han declarado esta semana que han encontrado graves vulnerabilidades y lo que parecen ser puertas traseras intencionadas en el firmware de 29 dispositivos FTTH OLT del conocido proveedor C-Data. El término FTTH OLT hace referencia a los equipos de red que permiten a los proveedores de servicios de Internet acercar al máximo los cables de fibra óptica a los usuarios finales.
Como su nombre indica, estos dispositivos son la terminación de una red de fibra óptica, ya que convierten los datos de una línea óptica en una conexión de cable Ethernet clásica que se enchufa en el hogar de un consumidor, en centros de datos o en centros empresariales. Estos dispositivos están ubicados por toda la red de un ISP y, debido a su papel crucial, son también uno de los tipos de dispositivos de red más extendidos hoy en día, ya que tienen que ubicarse en millones de puntos finales de terminación de red de todo el mundo.
La simple evaluación de este malware es que no puede ser más malo.
C-Data, el proveedor identificado aquí, es una fuente importante de este tipo de hardware dentro de la RPC. La conclusión es que si esta empresa se siente libre para incluir este sistema de puerta trasera en los productos que vende fuera de la RPC, sin duda no tiene restricciones para hacer lo mismo dentro de China. Esto significa entonces que cualquier empresa extranjera que opere en China debe asumir que su conexión a Internet está completamente comprometida por este tipo de malware/puerta trasera en todo su sistema de red. Si no está incluido en su sistema de oficina, es casi seguro que está incluido a nivel de ISP o proveedor de nube.
Este sistema lo instalan proveedores de telecomunicaciones que son propiedad o están controlados por el gobierno de la RPC. Una vez más, es el hacker -el gobierno chino- el que instala el sistema y es el hacker el que entra en los sistemas de red de las empresas a través de estas puertas traseras.
3. Uso de software antivirus obligatorio por el PRC
Una de las principales directivas del nuevo régimen de la Ley de Ciberseguridad de la RPC es el requisito de que los usuarios conectados a la red utilicen un software antivirus proporcionado por el gobierno chino. Piense en esto un minuto: el gobierno chino exige a las empresas que utilicen únicamente el software "antivirus" que proporciona. Este software antivirus proporciona una plataforma conveniente para que los hackers del gobierno chino entren en la red informática del usuario, pero sin duda también está programado para no revelar el malware del gobierno chino.
Los riesgos de un software antivirus pirateado son bien conocidos en los círculos de ciberseguridad. En Former U.S. spies say antivirus software makes for a perfect espionage platform, Cyberscoop analiza cómo el software antivirus es ideal para el espionaje:
Dado que la mayoría de los proveedores de antivirus han diseñado sus productos para buscar de forma autónoma virus informáticos en los sistemas de los usuarios escaneando directamente los archivos y enviando luego esos datos a un servidor para su análisis, el software es muy intrusivo por naturaleza.
Aparte de los riesgos remotos, los antivirus pueden ampliar la superficie de ataque de un host", afirma Blake Darche, antiguo analista de explotación de redes informáticas de la NSA. "Si un atacante puede acceder al servidor central de antivirus dentro de la red de una organización, ese servidor central puede utilizarse para la distribución de malware".
Las actualizaciones de software, que pueden ayudar a parchear errores u otros problemas en un producto, añaden otro vector de ataque porque proporcionan una vía fiable para la introducción remota de código en ordenadores de todo el mundo.
Los piratas informáticos chinos están muy familiarizados con el uso de software antivirus para este fin. Véase: Una investigación afirma que el ataque a CCLeaner lo llevó a cabo un grupo vinculado a China.
Dentro de la RPC, el uso de software antivirus obligatorio de la RPC eleva aún más los riesgos de pirateo del gobierno chino. Dentro de la RPC, no hay necesidad de un pirateo remoto. El propio pirata informático (el gobierno chino) proporciona a las empresas lo que es esencialmente un sistema ya pirateado.
Este sistema previamente pirateado tiene dos efectos principales. En primer lugar, el sistema no servirá de pantalla contra el malware creado por el gobierno de la RPC. En segundo lugar, el sistema servirá como vector para insertar un flujo continuo de malware proporcionado por el gobierno de la RPC y sus socios.
Imaginemos una situación paralela en Estados Unidos: la NSA y el FBI son los únicos proveedores de software antivirus. Este software podría ser eficaz para filtrar el malware de delincuentes y agentes extranjeros. Pero nadie esperaría que ese software protegiera a los usuarios de las intrusiones de la NSA o el FBI. Sería una tontería. Más tonto aún es creer lo mismo de la República Popular China y su software antivirus impuesto por el gobierno.
4. Pasar del correo electrónico a WeChat
Después de que el gobierno chino prohibiera Gmail en China, las agencias gubernamentales chinas empezaron a presionar a las empresas extranjeras para que se comunicaran utilizando servicios de correo electrónico aprobados por la RPC. Estos servicios no funcionan bien y son ampliamente conocidos por su inseguridad. Por ello, la mayoría de las empresas extranjeras siguieron utilizando proveedores alternativos de correo electrónico con sede en Estados Unidos y Europa. Estos servicios son relativamente seguros frente a la interceptación de mensajes por parte de los chinos. Proton mail y otros sistemas con cifrado de extremo a extremo son bastante seguros en China.
El gobierno chino podría haber dado un paso más bloqueando el acceso a todos los proveedores de correo electrónico con sede en el extranjero. Pero las agencias chinas han adoptado un enfoque más creativo. Ahora que el gobierno chino ha asumido esencialmente el control total de WeChat, las agencias chinas fuerzan todas las comunicaciones a la aplicación WeChat. Si envías un correo electrónico a tu banco, éste no responderá. Si envías un correo electrónico a tu oficina de impuestos local, no responderá. Si envía un correo electrónico al departamento de policía local sobre la situación de su visado, no responderá. Lo mismo ocurre con los tribunales chinos, que suelen respondernos simplemente pidiéndonos que nos comuniquemos con ellos a través de WeChat. Lo mismo ocurre con la presentación de documentos. Los organismos gubernamentales chinos casi siempre exigen que los documentos se envíen adjuntos por WeChat en lugar de por correo electrónico.
Esto significa pasar de una seguridad adecuada a la ausencia total de seguridad. Así lo demuestra la reciente clasificación de Amnistía Internacional de las aplicaciones de mensajería instantánea. Amnistía Internacional calificó las 11 principales aplicaciones de mensajería en función de su uso de la encriptación y la protección de la privacidad del usuario en una escala de 0 a 100. Facebook recibió la calificación más alta, 73 puntos. Facebook recibió la puntuación más alta, 73 puntos. WeChat recibió una puntuación de cero. En otras palabras, Amnistía Internacional concluyó que WeChat no ofrece literalmente ninguna protección contra la piratería informática. Ninguna. Nada. Cero. Nada. 没有. Ver ¿SÓLO PARA SUS OJOS? Clasificación de 11 empresas tecnológicas en materia de encriptación y derechos humanos.
Este cambio forzado a una plataforma de comunicación completamente insegura se hizo de la manera típica de CCP. No hay ninguna ley o reglamento que diga que el correo electrónico basado en el extranjero esté prohibido. No hay ninguna ley o reglamento que diga que es obligatorio utilizar un WeChat completamente inseguro. La "norma" se impone en la práctica. Si envías un correo electrónico, no te lo devolverán. Si llamas o visitas una agencia gubernamental para quejarte, la respuesta es: "Usa WeChat. Todo el mundo lo hace. Usted también debería". Y así se impone la norma, sin obligación por parte de las autoridades chinas de formalizarla o publicarla.
Conclusión
Mi objetivo con estos posts sobre ciberseguridad en China es describir la realidad de la ciberseguridad sobre el terreno para las empresas extranjeras que operan en China. Como han visto, el gobierno chino es el hacker, por lo que puede tener pleno acceso a toda la información sobre las entidades extranjeras que operan en su territorio, desde la información crítica relativa a tecnologías protegidas hasta los hechos más mundanos sobre las actividades diarias de la empresa extranjera y sus empleados. En nuestro mundo digitalizado, esa información está disponible en los sistemas informáticos y las comunicaciones en red de la entidad de propiedad extranjera.
El gobierno chino obtiene la información que desea utilizando las técnicas que he descrito. De hecho, sólo he descrito un subconjunto de las diversas técnicas que utiliza para acceder a la información.
Por supuesto, el gobierno chino anima a las entidades de propiedad extranjera a protegerse de los piratas informáticos criminales y de las intrusiones llevadas a cabo por sus competidores empresariales no estatales. Según la nueva normativa cibernética, esta forma de autoprotección es legalmente obligatoria para las empresas que operan en sectores críticos.
Pero la otra cara de este requisito es que el gobierno chino no permite ninguna protección contra su propia adquisición de esa misma información. Los intentos de bloquear el acceso del gobierno chino son inútiles. Se puede bloquear un vector de ataque en un caso de infección. Pero, en la práctica, no es posible defenderse de los ataques de un gobierno de la RPC que utilice un conjunto completo de técnicas de penetración. La única cuestión es si el gobierno chino está interesado o no. Si están interesados, tendrán éxito. No hay lugar donde esconderse.
ACTUALIZACIÓN: Un gran jurado federal de Spokane, Washington, presentó una acusación contra dos piratas informáticos, "ambos nacionales y residentes en la República Popular China (China), por piratear los sistemas informáticos de cientos de empresas, gobiernos, organizaciones no gubernamentales y disidentes, clérigos y activistas de los derechos humanos y democráticos en Estados Unidos. . . . Los piratas informáticos robaron terabytes de datos que constituían una sofisticada y prolífica amenaza para las redes estadounidenses.
Este programa de pirateo se llevó a cabo durante un periodo de 10 años y acaban de ser descubiertos. Esto demuestra lo difícil que es protegerse contra el pirateo del gobierno chino, incluso fuera de la RPC, donde realmente hay acceso a las mejores herramientas de ciberseguridad disponibles.
