En agosto de 2016, un grupo de hackers desconocidos hasta la fecha llamado «Shadow Brokers» proclamó haber sido los primeros en acceder a la Agencia de Seguridad Nacional de los Estados Unidos, más conocida como la NSA. El grupo filtró toda una serie de exploits que posteriormente fueron utilizados para realizar múltiples ataques, como fue el caso del asunto «WannaCry» basado en el exploit «EternalBlue» que la propia NSA llegó a utilizar.
‘Shadow Brokers’ no querían enriquecerse o vender material, sino buscaban el reconocimiento de haber superado a sus rivales de ‘Equation Group’, nombre que recibe el equipo de hackers que trabajan para la NSA. Sin embargo lo que parecía un enfrentamiento entre grupos de hackers, ha acabado mostrándose como un acontecimiento más entre la ciberguerra que mantienen China y los EEUU.
Según ha descubierto la firma de seguridad Symantec, los mismos hackers chinos que la agencia de seguridad norteamericana había entrenado durante más de una década cambiaron de bando y aprovecharon su posición en la agencia para obtener información en favor de China.
Este episodio habría ocurrido meses antes de la primera aparición de ‘Shadow Brokers’, por lo que se cree que estos agentes dobles de la inteligencia china fueron quienes accedieron a la NSA para posteriormente compartir los exploits con grupos de hackers. Es decir, no fue un hackeo externo a los sistemas de la NSA sino que fueron agentes infiltrados quienes desde dentro copiaron y aprovecharon los exploits que desde la NSA estaban utilizando.
Como describe el New York Times; «fue como si un pistolero agarra el rifle de un enemigo y comienza a disparar». Un hallazgo que pone de manifiesto cómo la agencia de seguridad más importante de los EEUU perdió el control de su propio arsenal de ciberseguridad, permitió que hackers chinos lo obtuvieran de sus propios ordenadores y posteriormente lo distribuyeran a grupos de hackers para atacar a múltiples compañías.
Agentes traicioneros y exploits utilizados contra millones de usuarios
Basándose en los detalles de los ataques y el código encontrado en los ordenadores, Symantec cree que China no hackeó la información sobre los exploits, sino que la copió de sus propios ordenadores. Una acción que se enmarca dentro del conflicto entre las dos potencias y muestra cómo los ciberataques y el malware que en su momento EEUU utilizó para destruir centrifugadoras nucleares de Irán, pasó a estar en manos de sus enemigos.
Durante la pasada década, la inteligencia norteamericana ha utilizado exploits como ‘EternalBlue’, ‘EternalRomance’ y ‘EternalSynergy’ para defender sus intereses, pero estos mismos agujeros de seguridad han sido aprovechados por China. Y es que la tecnología de ciberseguridad más avanzada también puede utilizarse contra ellos.
Algunas de las herramientas de hacking capturadas por los agentes chinos fueron después, según Symantec, las mismas que grupos como ‘Shadow Brokers’ y países como Rusia o Corea del Norte utilizaron para realizar sus ataques. Una filtración en sus sistemas que llevó a que la NSA contactase con Microsoft para que parcheara algunas de las vulnerabilidades que ellos mismos habían utilizado antes.
El grupo de tres atacantes chinos recibe el nombre de ‘Buckeye Group’, un término para referirse a estos hackers que, según probó el Departamento de Justicia de los EEUU, trabajaban para el Ministerio de Seguridad del Estado chino que opera en Guangzhou.
Creditos: xataka.com