Se sospecha que un actor de amenaza persistente avanzada (APT) no revelado, posiblemente respaldado por el gobierno chino, está involucrado en una grave violación de datos de la cadena de suministro en el Ministerio de Defensa (MoD) del Reino Unido, pero el Reino Unido se ha negado a atribuir formalmente el ciberataque a la seguridad nacional. preocupaciones
El ciberataque, que se informó ampliamente por primera vez la noche del lunes 6 de mayo después de que se filtraran prematuramente los detalles del incidente, estaba dirigido a empleados del Ministerio de Defensa, incluidos miembros en servicio de las fuerzas armadas y veteranos, mediante un ataque a un sistema de nómina aún sin nombre. proveedor.
Los datos expuestos en el ataque incluyen aproximadamente 270.000 puntos de datos, principalmente nombres y datos bancarios, pero no han afectado a ningún otro sistema del Ministerio de Defensa ni al pago de salarios.
“En los últimos días, el Ministerio de Defensa ha identificado indicios de que el actor maligno obtuvo acceso a parte de la red de pagos de las fuerzas armadas”, dijo el secretario de Defensa, Grant Shapps, a la Cámara de los Comunes en una declaración la tarde del 7 de mayo.
“Este es un sistema externo completamente separado de la red del Ministerio de Defensa y no está conectado al sistema principal de recursos humanos militar… Lo opera un contratista y hay evidencia de posibles fallas por parte de él, lo que puede haber facilitado las cosas. el actor maligno para lograr la entrada. Se está llevando a cabo una revisión de seguridad especializada del contratista y sus operaciones y se tomarán las medidas adecuadas.
“Por razones de seguridad nacional, no podemos revelar más detalles de la presunta actividad cibernética detrás de este incidente. Sin embargo, puedo confirmar a la Cámara que tenemos indicios de que se trata del trabajo sospechoso de un actor maligno y no podemos descartar la participación del Estado”, dijo.
Shapps continuó describiendo un plan de acción de ocho puntos que ya está en marcha, con los sistemas afectados desconectados como medida de precaución, una investigación que incluye expertos externos en marcha y el personal afectado recibiendo información y apoyo adecuado a través de su cadena de mando. Esto incluirá la prestación de servicios de protección de datos personales.
Shapps destacó que el número de personas afectadas era bajo y que no había pruebas que sugirieran que se hubieran robado datos.
El vínculo con China no está claro
Aunque no se ha hecho ninguna atribución formal a ninguna APT china, el gobierno chino ya ha tomado medidas para rechazar airadamente cualquier acusación de que sus agencias de inteligencia estuvieran detrás del último incidente, que se produce a raíz de otras violaciones a gran escala de entidades y funcionarios del gobierno del Reino Unido. como el de la Comisión Electoral –vinculada a China, por el que múltiples personas han sido sancionadas, tanto en el Reino Unido como en Estados Unidos.
En declaraciones a Computer Weekly hoy, el ex jefe del NCSC, Ciaran Martin, dijo que si bien el ataque al Ministerio de Defensa tenía las características de espionaje de un estado nación, la posibilidad de la participación de un estado nación en el ciberespionaje no era inesperada y la reacción del gobierno del Reino Unido a veces corría el riesgo de convertirla en Es difícil ver la madera de los árboles.
“Estoy sentado en un país que por segunda vez en un mes está muy preocupado por el espionaje chino contra el gobierno, una vez en el parlamento, la otra ahora en defensa, lo cual es grave, no es bienvenido, es perjudicial. Pero al mismo tiempo no hay ninguna propuesta seria en ninguna parte de que espiar a los gobiernos, especialmente a los ministerios de defensa o de asuntos exteriores, esté fuera de lo común. Es una actividad muy extendida”, afirmó.
Martin explicó que, en términos del discurso público general, la narrativa predominante se ha convertido en la del ciberespionaje chino en curso contra el parlamento y el gobierno, pero señaló que el espionaje es muy anterior al mundo digital y es de esperarse, aunque hay otras facetas en las que La maligna actividad cibernética china es más digna de atención urgente.
“Nos estamos percatando absolutamente del hecho de que Estados Unidos ha advertido que existe el equivalente a explosivos digitales debajo de muchas infraestructuras críticas que no pueden matar personas, pero que podrían paralizar la administración de la aviación, la administración de la atención sanitaria, la administración de todo tipo de servicios críticos”, dijo Martin. “Para mí, eso es algo mucho, mucho más importante en lo que centrar el esfuerzo nacional”.
Cualquiera que sea su origen, el incidente es claramente una violación grave de la cadena de suministro, con lecciones para todas las organizaciones.
“Los ciberataques a terceros proveedores siguen poniendo de relieve la amenaza que las vulnerabilidades en la cadena de suministro suponen para las organizaciones del Reino Unido”, afirmó Philip Tansley, abogado de seguridad de Osborne Clarke.
“Todas las organizaciones grandes –incluidos los departamentos gubernamentales– subcontratarán algunas operaciones a proveedores externos. Esto no es en sí mismo algo malo, pero a medida que el proceso de subcontratación se vuelve cada vez más complejo y digitalizado y los proveedores subcontratan funciones ellos mismos, se vuelve cada vez más difícil monitorear y gestionar los riesgos que plantea un eslabón débil en la cadena de suministro.
“La supervisión y comprensión adecuadas de dónde existen vulnerabilidades por parte de las organizaciones es vital para permitirles gestionar y asignar riesgos de manera adecuada y cumplir con las obligaciones contractuales y regulatorias”, dijo.