El ejercito de USA acusa a China de ciberataques
La verdad es que cuando estudiaba informática en la Universidad Politécnica de Madrid nunca pensé que acabará teniendo que estar leyendo cosas sobre el Programa de Armas Nucleares del PLA (People's Liberation Army) de la PRC (People's Republic of China). De hecho, yo fui objetor de conciencia porque nunca me han gustado las armas, y acabé llevando un aula de informática en mi Instituto de Bachillerato durante el tiempo equivalente al servicio militar obligatorio que existía aún en mi época. Y hoy en día, sin embargo, debido a mi trabajo en seguridad informática, me veo leyendo documentos como el Informe de la Secretaría de Defensa de los Estados Unidos de America enviado al Congreso sobre Los Avances Militares y en Seguridad de China. En fin.
En este caso no es un informe como en el de Mandiant sobre APT1, donde se publican datos recogidos con OSINT sobre una unidad militar orientada a recoger información de inteligencia en operaciones de ciberataque contra industrias clave de los países. En este informe - que es una indicación más de la larga lista de incidentes de ciberguerra y ciberespinoaje - no se trata de justificar cómo se ha obtenido la información que en él se plasma, y solo enuncian lo que la Secretaría de Defensa de USA da como hechos probados, y se pueden leer frases como estas:
Figura 1: Afirmaciones sobre los esfuerzos de China en Ciberespionaje y Ciberguerra |
Donde queda reflejado que USA tiene claro que el ejercito de China cuenta con una red de ciberspionaje creada especialmente para robar información militar de los Estados Unidos y que se está invirtiendo en el desarrollo de programas y armas para dominios emergentes, como el ciberespacio.
En el documento, con un montón de datos militares, el gobierno cita varios archivos del PLA (People's Liberation Army) de China en los que parece que dejan manifestado que la lucha de sistemas informatizados no sería posible sin el control del espacio, por lo que apuntan a los satélites de comunicaciones como punto claro en un posible escenario de ciberguerra.
Figura 2: Conquistar el espacio para vencer en la ciberguerra |
De hecho, en el pasado ya hubo acusaciones de intrusión por parte de China en Satélites Americanos, por lo que parece que esta afirmación viene de ahí más el análisis de los documentos Chinos que citan.
El informe resume las actividades de China en Ciberguera y Ciberespionaje en dos pequeñas secciones del documento. La primera sobre las capacidades del PLA, donde se citan todas las cosas malas que puede hacer el ejército de China, como robo de información, ataques contra las redes de control militares, etcétera... Nada nuevo bajo el sol, pero supongo que esta parte es para asustar a los congresistas américanos y lograr que suelten más dinero a los programas militares.
Figura 3: Las posibilidades de ataque que tiene el ciberejercito Chino según el documento |
La segunda sección, y quizá la que buscaba el titular de todos los medios de comunicación, es la parte en la se afirma directamente que el PLA de China ha atacado ya, directamente, los sistemas informáticos de defensa americanos.
Figura 4: Ataques realizados desde China al Departamento de Defensa Americano |
Al final este documento refleja un poco más algo que todo el mundo sabe, que tanto USA como China, como una larga lista de países, están metidos hasta las cejas en operaciones a través de Internet, y que se tratan de ocultar con el "y tú más".
Saludos Malignos!
4 comentarios:
Aqui hay mucha tela que cortar colega. Para que veais como funcionan los gobiernos en la Net:ejemplo:NSA docu: http://hacksperger.wordpress.com/2013/05/11/nsa-document-pdf-untangling-the-web/
en cuanto a los Neo/tecno/Mao Confucianos ver: http://hacksperger.wordpress.com/2013/02/20/sorry-but-that-chinese-hacking-report-proves-nothing-read-more-httpwww-businessinsider-commandiant-china-report-questioned-2013-2ixzz2lqzzd5ey/
del famoso PDF: http://hacksperger.wordpress.com/2013/02/19/china-suspected-of-hacking-u-s/
Los chinos están ahora trabajando en un híbrido, una especie de intranet con los protocolos habituales pero ultraprotegida por su famoso cortafuegos y que tendría como objetivo evolucionar hasta la creación de un espacio virtual con protocolos propios (todo controlado por la burocracia estatal) con embudos de comunicación hacia el exterior, lo que hoy aún conocemos como Internet, esa cosa desfasada controlada por los USA. Asi el tráfico de salida (por compatibilidad de protocolos) sería un privilegio con normas muy estrictas y el tráfico de entrada desde la internet clásica sería imposible (eso ya lo veremos) sin los códigos de compatibilidad. Curiosamente la red sin fronteras corre el peligro de fraccionarse en zonas de influencia porque la tentación de formalizar compartimentos estancos controlados por la autoridad competente gana adeptos. Al loro con los Check Point Software. Hey, es raro que yo falle. Saludos.
Está claro que teniendo la red, habrá ataques por ella. Pero a mí no me deja de venir a la cabeza un detalle obvio: Informáticos hay en todos los países, y esto originaría que igual que se hagan ataques, se descubran: ¿No puede ser que los Rusos (por poner un ejemplo) están atacando desde china?. Y no me refiero a través de proxys, sino de gente allí físicamente.
Esto desviaría la atención ¿no?. Se que puede parecer muy simple, pero también quizás efectivo. Un mero trámite para ganar tiempo.
Saludos a todos y especialmente a Maligno!.
David.
Me he leído algunas partes del documento de Norman en profundidad (sobre todo los aspectos técnicos, más que los relativos al escenario político con el que pudieran tener relación) y me ha dado por hacer unos traceroutes a algunos de los drops, peticiones de resolución de nombre y whoises de algunos dominios tan curiosos como saboresnativos.net, según ellos potencialmente metidos en el ajo, a eso de las 10 y media de la mañana. Tras estar casi toda la mañana fuera del PC he vuelto a eso de la 1 y la mosca detrás de la oreja imperiosamente me ha forzado a comprobar lo que netstat escupiría unos segundos más tarde...
javaw.exe estaba escuchando en todo el rango de puertos (hasta en uno italiano, al pie de las montañas, donde vive nuestro amigo Marco, no digo más :S) para todas las direcciones, y una instancia de conhosts.exe (una de las que no depende Dropbox) un poco sospechosa.
He empezado a matar procesos, tirar servicios y revisar reglas del firewall como poseso hasta que ha parecido cesar la actividad DESCARADAMENTE sospechosa, porque la que realmente pueda ser sospechosa no la conozco tan bien como nuestro maligno -ojalá algún día :3- y mucho menos sin parar a auditar como se debe.
¿Qué me aconsejáis? Estoy por desconectar este PC un mes de la red a ver que tal, si se recupera del achuchón. }:P
Lo que está claro es que igual pido alguno más de los libros de i64 (de momento solo tengo 3, y el de hacking con buscadores todavía sin empezar :$) que me puedan ayudar a profundizar en el tema...
Un saludo.
PD: Es mi primer comentario en el lado del mal tras tanto y tanto tiempo arrimándome a leer lo que el maestro maligno nos deja como piscolabis :)
Publicar un comentario