Mientras el FBI examinaba el equipo recuperado de un globo espía chino que fue derribado frente a la costa de Carolina del Sur en febrero, las agencias de inteligencia de EE. UU. y Microsoft descubrieron lo que temían era un intruso aún más preocupante: un misterioso código informático que aparecía en los sistemas de telecomunicaciones del país. Guam y otros lugares de los Estados Unidos.
El código, que según Microsoft fue instalado por un grupo de piratas informáticos del gobierno chino, encendió las alarmas porque Guam, con sus puertos del Pacífico y su vasta base aérea estadounidense, sería el foco de cualquier respuesta militar estadounidense a una invasión o bloqueo de Taiwán. La operación se realizó de manera muy sigilosa, a veces fluyendo a través de enrutadores domésticos y otros dispositivos de consumo comunes conectados a Internet, para que la intrusión fuera más difícil de rastrear.
El código se llama “web shell”, en este caso es un script malicioso que permite el acceso remoto al servidor. Los enrutadores domésticos son particularmente vulnerables, especialmente los modelos más antiguos que no han actualizado su software y seguridad.
A diferencia del globo que deslumbró a los estadounidenses mientras daba vueltas sobre sitios nucleares sensibles, el código de computadora no podía proyectarse en la televisión en vivo. Entonces, en cambio, Microsoft publicó el miércoles detalles del código que permitirá a los usuarios corporativos, fabricantes y otros detectarlo y eliminarlo. En una declaración coordinada, la NSA, junto con otras agencias nacionales y contrapartes en Australia, Gran Bretaña, Nueva Zelanda y Canadá, publicó un aviso de 24 páginas que citaba el descubrimiento de Microsoft y ofrecía advertencias más amplias sobre “una variedad de actividades detectadas recientemente” en China. .
Microsoft llamó al grupo de piratería “Volt Typhoon” y dijo que era parte de un esfuerzo patrocinado por el estado chino que apunta no solo a la infraestructura crítica como las telecomunicaciones, la electricidad y el gas, sino también a las operaciones marítimas y de transporte. Las intrusiones parecían, por el momento, una campaña de espionaje. Pero los chinos pueden usar el código, que está diseñado para romper los cortafuegos, para permitir ataques destructivos, si así lo desean.
Microsoft dice que hasta el momento no hay evidencia de que el grupo chino haya utilizado el acceso en ningún ataque ofensivo. A diferencia de los grupos rusos, los piratas informáticos militares y de inteligencia chinos suelen priorizar el espionaje.
En entrevistas, los funcionarios de la administración dijeron que creían que el código era parte de un esfuerzo de recopilación de inteligencia china a gran escala que se extiende por el ciberespacio, el espacio exterior y, como descubrieron los estadounidenses con el incidente del globo, la atmósfera inferior.
La administración Biden se negó a discutir lo que encontró el FBI mientras examinaba el equipo recuperado del globo. Pero el avión, mejor descrito como un gran vehículo aéreo, aparentemente incluía radares especializados e interceptores de comunicaciones que el FBI había estado examinando desde que el globo fue derribado.
No está claro si el silencio del gobierno sobre su descubrimiento desde el globo fue motivado por un deseo de evitar que el gobierno chino supiera lo que Estados Unidos había aprendido o de eludir la brecha diplomática que siguió a la incursión.
El domingo, el presidente Biden habló en una conferencia de prensa en Hiroshima, Japón, y señaló cómo el accidente del globo había paralizado los ya helados intercambios entre Washington y Beijing.
“Y entonces este tonto globo que tenía equipo de espionaje para dos vagones de carga volaba sobre Estados Unidos, fue derribado y todo cambió en términos de comunicación entre ellos”, dijo a los periodistas.
Predijo que las relaciones “comenzarán a descongelarse muy pronto”.
China nunca ha admitido haber pirateado las redes de EE. UU., ni siquiera en el ejemplo más grande de todos: el robo de los archivos de autorización de seguridad de unos 22 millones de estadounidenses, incluidos seis millones de juegos de huellas dactilares, de la Oficina de Gestión de Personal durante la administración Obama. Esta extracción de datos tomó la mayor parte de un año y condujo a un acuerdo entre el presidente Barack Obama y el presidente Xi Jinping que condujo a una breve disminución en la actividad cibernética china maliciosa.
El miércoles, China envió una advertencia a sus empresas para que estén alertas ante la piratería estadounidense. Y también hubo mucho de eso: en los documentos publicados por el excontratista de la NSA, Edward Snowden, había evidencia de los esfuerzos de EE. UU. para piratear los sistemas de Huawei, el gigante chino de las telecomunicaciones, y objetivos militares y de liderazgo.
Las redes de telecomunicaciones son objetivos principales para los piratas informáticos, y el orden en Guam es particularmente importante para China porque las comunicaciones militares a menudo dependen de redes comerciales.
Tom Burt, un ejecutivo que supervisa la unidad Threat Intelligence de Microsoft, dijo en una entrevista que los analistas de la compañía, muchos de los cuales son veteranos de la NSA y otras agencias de inteligencia, encontraron el código “mientras investigaban la actividad de piratería que afectaba a un puerto estadounidense”. Mientras rastreaban las infiltraciones, encontraron otras redes que habían sido bombardeadas, “incluidas algunas en el sector de las telecomunicaciones de Guam”.
Los esfuerzos encubiertos “como la actividad divulgada hoy son parte de lo que impulsa nuestro enfoque en la seguridad de la red de comunicaciones y la necesidad urgente de utilizar proveedores confiables” cuyos dispositivos hayan cumplido con los estándares de seguridad cibernética, dijo Ann Neuberger, asesora adjunta de seguridad nacional para tecnología electrónica y emergente.
La Sra. Neuberger lidera los esfuerzos en todo el gobierno federal para hacer cumplir los nuevos estándares de seguridad cibernética para la infraestructura crítica. Los funcionarios se sorprendieron por el alcance de las vulnerabilidades en dicha infraestructura cuando un ataque de ransomware ruso en el oleoducto Colonial en 2021 detuvo el flujo de gasolina, diésel y combustible para aviones en la costa este. Después del ataque, la administración de Biden utilizó poderes poco conocidos de la Administración de Seguridad del Transporte, que regula los oleoductos, para obligar a las instalaciones del sector privado a seguir una serie de mandatos de seguridad cibernética.
La Sra. Neuberger ahora dirige lo que ella describe como un “enfoque continuo en mejorar la seguridad cibernética de tuberías, sistemas ferroviarios, sistemas de agua y otros servicios críticos”, incluidos mandatos para prácticas de seguridad cibernética para estos sectores y una estrecha colaboración con empresas con una visión única “en amenazas a tal arquitectura”. sustrato.
Estas empresas incluyen Microsoft, Google, Amazon y muchos operadores que pueden ver actividad en las redes locales. Las agencias de inteligencia, incluida la Agencia de Seguridad Nacional, tienen prohibido por ley operar dentro de los Estados Unidos. Pero la NSA puede publicar advertencias, como lo hizo el miércoles, junto con el FBI y la Administración de Seguridad e Infraestructura Cibernética del Departamento de Seguridad Nacional.
El informe de la agencia es parte de un movimiento relativamente nuevo del gobierno de EE. UU. para publicar rápidamente dichos datos con la esperanza de quemar operaciones como la lanzada por el gobierno chino. En años anteriores, Estados Unidos generalmente retenía dicha información, a veces la categorizaba, y la compartía con algunas empresas o instituciones selectas. Pero esto siempre asegura que los piratas informáticos puedan mantenerse por delante del gobierno.
En este caso, es el enfoque en Guam lo que ha llamado particularmente la atención de los funcionarios que evalúan las capacidades y la voluntad de China para atacar o estrangular a Taiwán. Xi ordenó al Ejército Popular de Liberación que pudiera capturar la isla para 2027. Pero el director de la CIA, William J. Burns, señaló al Congreso que la orden “no significa que decidió lanzar una invasión”.
En docenas de maniobras estadounidenses en los últimos años para determinar cómo sería un ataque de este tipo, uno de los primeros movimientos esperados de China sería cortar las comunicaciones estadounidenses y ralentizar la capacidad de respuesta de Estados Unidos. Entonces, los ejercicios representan ataques a comunicaciones terrestres y satélites, especialmente alrededor de instalaciones estadounidenses donde se movilizarán activos militares.
Ninguno más grande que Guam, ya que la Base de la Fuerza Aérea Andersen será un punto de partida para muchas misiones de la Fuerza Aérea para ayudar a defender la isla, y el puerto marítimo es fundamental para los submarinos estadounidenses.