Hasta 141 organizaciones atacadas en todo el mundo

El informe publicado por la compañía estadounidense de seguridad informática Mandiant que acusa a China de mantener una red de hackers que actúa contra organizaciones y empresas internacionales ha indignado a Pekín.

El contenido del detallado estudio incluye numerosos datos sobre esta red de piratas informáticos bautizada por Mandiant como APT1, que apuntan a que se trata de una unidad informática del Ejército chino identificada como la unidad 61398. De acuerdo con la información que publica, Mandiant entiende "hay pocas dudas" de que la unidad secreta 61398 y APT1 son una misma cosa.

La compañía de seguridad informática reconoce que cabe una única e improbable posibilidad de que está conclusión sea errónea: Que una organización secreta y con recursos, formada por hablantes de chino continental y con acceso directo a la infraestructura de comunicaciones de Shanghái se haya embarcado en una campaña de varios años de espionaje informático justo en las narices de la Unidad 61398, y llevando a cabo tareas parecidas a la misión conocida de dicha unidad.

Los ataques y sus víctimas

• Desde 2006, APT1 ha comprometido la seguridad de 141 compañías de 20 sectores distintos.
• El 87% de estas víctimas tienen su sede en países de habla inglesa.
• Solo en el primer mes de 2011, los piratas accedieron a las redes de 17 nuevas organizaciones.
• Las compañías atacadas se encuadran dentro de los sectores definidos por China como "estratégicos" para su crecimiento, incluyendo cuatro de las siete industrias emergentes estratégicas identificadas por Pekín en su duodécimo plan quinquenal.

La unidad APT1

• El informe sostiene, basándose en el rastreo efectuado, que gran parte de la unidad de piratería está físicamente localizada en la calle Datong, en Gaoqiaozhen, en Pudong, en la ciudad china de Shanghái. La sede central es un edificio de 12 plantas construido a principios de 2007.
• Por la cantidad de actividad desarrollada, estiman que hay varios cientos, miles de personas trabajando en APT1.
• China Telecom ha provisto a la unidad de una infraestructura especial de comunicación por fibra óptica, aduciendo razones de seguridad nacional.
• La complejidad de las actividades desarrolladas requieren personal experto en seguridad y redes informáticas, así como expertos angloparlantes.
• Solo en los últimos dos años, APT1 ha utilizado un mínimo de 849 direcciones IP distintas en 13 países (709 de ellas en China).

El modus operandi de los piratas

• APT1 tiene una metodología diseñada para robar grandes cantidades de información y propiedad intelectual.
• Una vez que estos hackers acceden a la red que pretenden atacar, la visitan durante los siguientes años para obtener un variado botín: Dibujos técnicos de avances tecnológicos, procesos de fabricación, resultados de pruebas y ensayos, planes de negocio, valoraciones de precios, acuerdos de colaboración, correos electrónicos y listas de contactos de la empresa u organización víctima del ataque.
• La unidad utiliza algunas herramientas y técnicas "nunca vistas" por Mandiant como dos aplicaciones diseñadas para robar correos electrónicos.
• El acceso a la red pirateada se mantenía, de media, 365 días. El período de espionaje más largo a una misma víctima fue cuatro años y diez meses, aunque el informe no detalla qué organización sufrió este ataque prolongado.
• El informe revela la existencia de al menos tres personalidades virtuales relacionadas con APT1, "para demostrar que hay personas reales detrás del teclado". Son los alias UglyGorilla, DOTA y SuperHard.

Además de los datos revelados en el informe, la compañía pondrá a disposición pública gran cantidad de información en la que ha basado sus conclusiones para reforzar las defensas contra estos ataques. Entre otras cosas, hará públicos más de 3.000 indicadores como direcciones IP, nombres de dominio, y códigos, además de descripciones de más de 40 familias de virus del arsenal de armas digitales de APT1 y un conjunto de vídeos que muestran ataques reales de los piratas.