Check Point ha descubierto el backdoor en el que algunos hackers chinos han estado trabajando de forma secreta en medio de la creciente guerra comercial entre Estados Unidos y China. Este backdoor permite a los hackers chinos infiltrarse en las redes de las víctimas de EEUU, sin apenas esfuerzos y costes económicos.
Los investigadores de Check Point han descubierto el modus operandi de los hackers chinos, quienes desarrollan sus herramientas para crear ciberataques creando un camino o puente que les permite capturar y aplicar ingeniería inversa a las herramientas de explotación internas de Estados Unidos. En este sentido, uno de los aspectos más determinantes dentro de la actual estrategia de guerra cibernética de China consiste en afianzarse en las redes de potenciales víctimas estadounidenses, extendiéndose rápidamente una vez se encuentran dentro. Una de las maneras más efectivas para conseguirlo es emplear una táctica basada en aprovecharse de las vulnerabilidades de seguridad de estas redes. Los estadounidenses, al parecer, invierten millones de dólares en el desarrollo de exploits a nivel interno, lo que inspiró a los hackers chinos a construir un camino secreto para beneficiarse de ello.
Los estadounidenses invierten millones de dólares en el desarrollo de exploits a nivel interno, lo que inspiró a los hackers chinos a construir un camino secreto para beneficiarse de ello
¿Cómo se ha descubierto este backdoor?
A principios de este año, un grupo patrocinado por el Estado chino llamado APT3 (también conocido como Bemstour o UPS Team) había utilizado una vulnerabilidad similar a la de la Agencia Nacional de Seguridad (NSA) americana antes de 2017, año en el que un grupo llamado The Shadow Brokers filtró una serie de vulnerabilidades de la NSA. Esta filtración de las herramientas de la NSA por parte de este grupo de hackers puso de manifiesto que EEUU cuenta con grandes capacidades de creación de exploits in-house. En este sentido, el objetivo de China era alcanzar el mismo nivel.
Los investigadores de Check Point analizaron la herramienta maliciosa que utilizó APT3 y descubrieron que un grupo chino estaba monitorizando las máquinas cuya seguridad se había visto comprometida por la NSA, capturando además el tráfico del ataque y aprovechándolo para revertir las vulnerabilidades del software. A través de esto, este grupo de ciberatacantes chinos pudieron construir su propia herramienta de explotación cuya apariencia era casi idéntica a la americana, pero que en realidad fue construida en China.
Tras esto, Check Point encontró la herramienta utilizada por APT3 para crear el exploit, y la compañía realizó la ingeniería inversa de la herramienta con el objetivo de compararla con las implementaciones de los exploits de la NSA. Gracias a este análisis de las diferencias entre las herramientas, los investigadores pudieron realizar observaciones sobre cómo se construyó la herramienta china, ayudando a descubrir la existencia de un backdoor en las redes de explotación internas de los Estados Unidos.
“Este descubrimiento nos permite echar un vistazo al modus operandi de los hackers chinos cuando se trata de herramientas de explotación, que son recursos extremadamente escasos y valiosos. Por lo general, se construyen con equipos internos o se compran a terceros, pero aquí podemos ver un patrón diferente, ya que las herramientas obtenidas por los chinos se recogen y se someten a ingeniería inversa en los EE. UU”, señala Eusebio Nieva, director técnico de Check Point para España y Portugal.