Caso de piratería informática contra compañías en EE.UU., entre ellas Siemens, ilustra nuevas tipologías

Esta semana se ha presentado una acusación formal contra tres ciudadanos chinos Wu Yingzhuo, Dong –y también residentes en ese país—, por piratería informática, robo de secretos comerciales, conspiración y robo de identidad dirigido a empleados estadounidenses y extranjeros y computadoras de tres empresas en las industrias financiera, de ingeniería y tecnología entre 2011 y 2017.

Los tres piratas informáticos chinos trabajan para la supuesta empresa china de seguridad en Internet Guangzhou Bo Yu Information Technology Company Limited (también conocida como «Boyusec»).

La acusación formal alega que los acusados conspiraron para hackear entidades privadas a fin de mantener el acceso no autorizado y robar documentos internos y comunicaciones sensible de las computadoras de esas entidades. En el caso de una víctima, la información que los acusados robaron entre diciembre de 2015 y marzo de 2016 contenía secretos comerciales.

«Una vez más, el Departamento de Justicia y el FBI han demostrado que los hackers en todo el mundo que buscan robar la información más sensible y valiosa de nuestras compañías pueden y serán expuestos y responsabilizados», dijo el fiscal general adjunto interino de Seguridad Nacional, Dana J. Boente. «El Departamento de Justicia está comprometido a buscar el arresto y enjuiciamiento de estos piratas informáticos, sin importar cuánto tiempo lleve”.

«Wu, Dong y Xia lanzaron intrusiones cibernéticas coordinadas y dirigidas contra empresas que operan en Estados Unidos, incluso aquí en el Distrito Oeste de Pensilvania, con el fin de robar información comercial confidencial», dijo el abogado interino estadounidense Soo C. Song para el Distrito Oeste de Pensilvania. «Estos cómplices enmascararon su conspiración criminal al explotar computadoras inconscientes, llamadas ‘hop points’ o ‘puntos de salto’, realizando campañas de correo ‘spearphishing’ para obtener acceso no autorizado a computadoras corporativas y desplegando código malicioso para infiltrarse en las redes de computadoras de las víctimas».

«Para poder abordar eficazmente la amenaza cibernética, una amenaza que no respeta fronteras y continúa creciendo tanto en su alcance como en su complejidad, las fuerzas del orden público deben unirse y trascender las fronteras para atacar a los delincuentes sin importar dónde se encuentren en el mundo», dijo el agente especial a cargo Robert Johnson, de la División de Pittsburgh del FBI.

De acuerdo con los alegatos de la Acusación:

Wu, Dong, Xia y otros conocidos y desconocidos por el gran jurado coordinaron intrusiones informáticas contra empresas y entidades que operan en Estados Unidos y en otros lugares. Para llevar a cabo sus intrusiones, los ciberdelincuentes enviarían, por ejemplo, correos electrónicos spearphishing a los empleados de las entidades seleccionadas, que incluían adjuntos maliciosos o enlaces a malware. Si un destinatario abría el archivo adjunto o hacía clic en el enlace, dicha acción facilitaría el acceso no autorizado y persistente a la computadora del destinatario. Con tal acceso, los delincuentes instalarían otras herramientas en las computadoras de las víctimas, incluido el malware al que los conspiradores se refieren como «ups» y «exeproxy». En muchos casos, los piratas informáticos trataron de ocultar sus actividades, ubicación y la afiliación a Boyusec mediante el uso de alias en el registro de cuentas en línea, servidores informáticos intermediarios conocidos como «puntos de salto» y credenciales válidas robadas de los sistemas de las víctimas.

El objetivo principal del acceso no autorizado de los ciberdelincuentes a las computadoras de las víctimas era buscar, identificar, copiar, empaquetar y robar datos de esas computadoras, incluida información comercial y confidencial e información delicada de los empleados víctimas, como nombres de usuario y contraseñas que podrían usarse para extender el acceso no autorizado dentro de los sistemas de la víctima. Para las tres entidades víctimas nombradas en la acusación, dicha información incluía cientos de gigabytes de datos relacionados con el financiamiento de viviendas, energía, tecnología, transporte, construcción, topografía y sectores agrícolas.

Wu y Dong Hao eran miembros fundadores y accionistas de Boyusec.

Entre las compañías que cayeron víctimas de este ardid se encuentran Moody’s Analytics, Siemens AG y Trimble, Inc., y como se alega en la acusación, el ardid habría comenzado en 2011 y habría continuado hasta mayo de 2017.

Trimble

En 2015 y 2016, Trimble estaba desarrollando una tecnología de Global Navigation Satellite Systems  o de Sistemas Mundiales de Navegación por Satélite (GNSS) diseñada para mejorar la precisión de los datos de ubicación en dispositivos móviles. En enero de 2016, mientras este proyecto estaba en desarrollo, Wu accedió a la red de Trimble y robó archivos que contenían documentos comerciales y datos relacionados con la tecnología, incluidos los secretos comerciales de Trimble. En total, entre diciembre de 2015 y marzo de 2016, Wu y los otros ciber piratas robaron al menos 275 megabytes de datos, incluidos datos comprimidos, que incluyeron cientos de archivos que habrían ayudado a un competidor de Trimble a desarrollar, proporcionar y comercializar un producto similar. sin incurrir en millones de dólares en costos de investigación y desarrollo.

Siemens

En 2014, Dong accedió a las redes de computadoras de Siemens con el fin de obtener y usar los nombres de usuario y las contraseñas de los empleados para acceder a la red de Siemens. En 2015, los piratas informáticos robaron aproximadamente 407 gigabytes de datos comerciales pertenecientes a los negocios de energía, tecnología y transporte de Siemens.

Moody’s Analytics

En o alrededor de 2011, los delincuentes accedieron al servidor de correo electrónico interno de Moody’s Analytics y colocaron una medida de reenvío en la cuenta de correo electrónico de un importante empleado. La regla ordenó que todos los correos electrónicos hacia y desde la cuenta del empleado sean enviados a cuentas de correo electrónico –basadas en la web— controladas por los delincuentes. En 2013 y 2014, Xia accedió regularmente a esas cuentas de correo electrónico basadas en la web para acceder a los correos electrónicos robados del empleado, que contenían análisis económicos privados y confidenciales, hallazgos y opiniones.