El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido ha reafirmado las directrices emitidas anteriormente para personas consideradas en alto riesgo de sufrir piratería selectiva por parte de actores de amenazas respaldados por el estado chino, en particular APT31, que hoy está siendo sancionado tanto en el Reino Unido como en los EE. UU. por campañas de piratería informática. que se remonta a más de una década.
El NCSC ha emitido múltiples advertencias sobre las actividades de APT31 a lo largo de los años y ha documentado varias formas en que China puede intentar explotar los datos obtenidos de los sistemas de la Comisión Electoral y sus otras víctimas.
Además del espionaje a gran escala, estos incluyen la represión transnacional de supuestos disidentes y críticos de China en el Reino Unido, probablemente incluidos activistas prodemocracia de Hong Kong, muchos de los cuales han buscado y recibido asilo en el Reino Unido después de haber sido obligados a abandonar sus hogares. .
“Las actividades maliciosas que hemos expuesto hoy son indicativas de un patrón más amplio de comportamiento inaceptable que estamos viendo por parte de actores afiliados al Estado de China contra el Reino Unido y en todo el mundo”, dijo el director de operaciones del NCSC, Paul Chichester.
“Atacar nuestro sistema democrático es inaceptable y el NCSC seguirá denunciando a los ciberactores que representan una amenaza para las instituciones y los valores que sustentan nuestra sociedad”, añadió.
“Es vital que las organizaciones y los individuos involucrados en nuestros procesos democráticos se defiendan en el ciberespacio y los insto a seguir e implementar los consejos del NCSC para mantenerse seguros en línea”, dijo Chichester.
El NCSC ha revisado su guía en línea para personas de alto perfil, describiendo los pasos clave que dichas personas deberían tomar de forma natural para convertirse en un objetivo más difícil para un actor de amenazas como APT31.
Paul Chichester, NCSC
Esta guía no se aplica sólo a los políticos, sino que es igualmente útil para altos líderes empresariales, investigadores y científicos cuyas organizaciones pueden estar en riesgo de espionaje industrial, así como para activistas, profesionales del derecho y periodistas.
Destaca la importancia de proteger las cuentas en línea mediante contraseñas seguras y autenticación multifactor (MFA), e insta a quienes están en riesgo a revisar su uso general de las redes sociales y aplicaciones de mensajería, y la configuración de privacidad de su cuenta.
Las personas de alto riesgo también deberían mejorar mucho en la actualización de sus dispositivos. Instalar actualizaciones de seguridad rápidamente es una de las formas más fáciles de protegerse contra un ciberataque, y la mayoría de las aplicaciones móviles que probablemente sean atacadas por grupos como APT31 deberían hacerlo automáticamente. Esta capacidad, cuando se ofrezca, debe activarse. Los usuarios también deben prestar atención desde dónde descargan las aplicaciones, asegurándose de utilizar únicamente las tiendas oficiales de Google y Apple.
También se recomienda a los usuarios que protejan el acceso físico a sus dispositivos con contraseñas y PIN y, si son usuarios de iPhone, que activen el modo Lockdown de Apple. También deberían considerar reemplazar los dispositivos más antiguos, que pueden no ser compatibles.
Si los usuarios sospechan que están siendo atacados de esta manera, deben estar particularmente alerta a los correos electrónicos sospechosos y evitar hacer clic en cualquier enlace o responder hasta que estén seguros de que las comunicaciones son genuinas. Se sabe que los actores de amenazas persistentes avanzadas (APT) de los estados-nación se hacen pasar por contactos confiables para obtener información de sus objetivos, por lo que verificar los contactos también es importante.
Si un usuario hace clic en un enlace o cree que ha sido pirateado, se le recomienda que no entre en pánico y que lo informe de inmediato.
Viviendo de la tierra
La última acción del Reino Unido se produce pocos días después de que el NCSC y sus homólogos de Five Eyes, incluida la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), emitieran una advertencia actualizada sobre las actividades de Volt Typhoon, un actor de la APT respaldado por el estado chino que ha sido fuertemente afectado. dirigido a operadores de infraestructuras nacionales críticas.
Esto siguió a una advertencia anterior en febrero, en la que las agencias Five Eyes detallaron cómo Volt Typhoon –y otras APT respaldadas por el estado, no solo las chinas– estaban explotando herramientas legítimas existentes en las redes de las víctimas como parte de sus cadenas de ciberataques.
Esta técnica probada y comprobada, a la que se hace referencia ampliamente como vivir de la tierra, permite que un actor de amenazas se mezcle con el tráfico “que ocurre naturalmente” y opere discretamente sin ser detectado. De esta manera, pueden operar sin ser detectados hasta que sea demasiado tarde para que la víctima pueda hacer algo al respecto.
Toby Lewis, jefe global de análisis de amenazas de Darktrace, dijo que el ataque de 2023 a la Comisión Electoral fue un buen ejemplo de un incidente de vida de la tierra, ya que sus atacantes habían permanecido sin ser detectados en su red durante algún tiempo.
“Este último incidente pone de relieve cómo los piratas informáticos de los estados-nación son hábiles para integrarse en la actividad normal de la red”, dijo a Computer Weekly. “El único indicador inicial fue una serie de eventos de inicio de sesión sospechosos; no hubo otros signos evidentes de una intrusión cibernética utilizando métodos de detección tradicionales. Este es un valioso recordatorio de que ya no podemos confiar únicamente en la búsqueda de indicadores conocidos de ataques pasados”.
El vicepresidente de inteligencia de amenazas de la Unidad Contra Amenazas de Secureworks, Don Smith, añadió: “El ciberespionaje patrocinado por el Estado chino no es una amenaza nueva. El Reino Unido y Estados Unidos llevan varios años denunciando estas operaciones encubiertas. El propósito del ciberespionaje desde el punto de vista de China es acceder a información que impulse la agenda de la República Popular China.
“[However], en los últimos años, cansados de que sus operaciones sean objeto de rumores y de que se den a conocer públicamente, los chinos han puesto un énfasis cada vez mayor en el uso sigiloso de los ataques de ciberespionaje. Se trata de un cambio en el modus operandi con respecto a su anterior reputación de “aplastar y agarrar”, pero los chinos lo consideran una evolución necesaria para, en primer lugar, hacer que sea más difícil ser atrapado y, en segundo lugar, hacer que sea casi imposible atribuir un ataque a a ellos.
“Específicamente, esto se ha manifestado en cuatro áreas clave: redes ofuscadas; viviendo al límite; vivir de la tierra; y vivir en la nube. Combinadas, estas tácticas hacen que la identificación de actividades maliciosas sea más difícil, pero lo que es más importante, hacen que la atribución sea más complicada”, dijo.