• de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar
19 junio
Cómo fue el ciberataque que golpeó a empresas, escuelas y hospitales en Australia

Según la prensa inglesa hay entre10 y 15 gobiernos que podrían estar detrás del ataque, incluidos Rusia, China, Irán y Corea del Norte.

El primer ministro de Australia, Scott Morrison, dijo que los expertos cibernéticos del Gobierno identificaron que se trata de un actor cibernético estatal “por la escala y la naturaleza del objetivo y el oficio utilizado”.
Actualmente, el mandatario no brindó nombres de ningún sospechoso, pero dijo que “no hay un gran número” de países que puedan llevar a cabo operaciones cibernéticas tan masivas.

Sin embargo, el experto en cibernética y director de negocios estratégicos de Forcepoint, Nick Savvides, dijo en una entrevista en Australia al medio británico Daily Mail, que hay entre 10 y 15 gobiernos que podrían estar detrás del ataque, incluidos Rusia, China, Irán y Corea del Norte.
“Los hackers pueden hacer que las operaciones parezcan venir de otro estado imitando a otro actor estatal” aseguró Savvides, luego agregó que “para algunos puede parecer que Scott Morrison está tratando de dejar de nombrar a un sospechoso, pero simpatizo con él...estamos en un clima geopolítico elevado, por lo que querrá estar absolutamente seguro y tener evidencia que pueda declarar públicamente antes de nombrar a alguien”.
Por el momento, en las investigaciones no se han filtrado datos personales, según indica el primer ministro. También mencionó que, muchas entidades han sido atacadas, pero el éxito de los ataques ha sido “menos significativo”.
Savvides dijo que el Primer Ministro había usado un “lenguaje muy poderoso” al declarar que el ataque fue de un estado y que las actuales tensiones comerciales con China pueden hacer que la gente crea que el ataque fue ordenado por Beijing. Esto indicaría que podría ser otro gobierno quien esté llevando adelante este tipo de acciones.

Para el experto en cibernética es un hecho delicado ya que la motivación para un ciberataque puede ser afianzarse en los sistemas de un enemigo para cerrar escuelas, hospitales e industrias clave en caso de guerra.
Pese a de las declaraciones del Primer Ministro, la inteligencia nacional australiana ya ha concluido que China se encuentra detrás de este ataque.

En febrero de 2019, Australia reveló que los ciberterroristas habían violado la red del parlamento nacional australiano. Morrison dijo en ese entonces que el ataque era “sofisticado” y probablemente llevado a cabo por un gobierno extranjero. Pero no mencionó a ningún gobierno sospechoso de estar involucrado.
La primera medida apenas se descubrió el ataque, tanto el presidente de la Cámara de Representantes como el presidente del Senado, dijeron a los legisladores australianos y a su personal que cambiaran inmediatamente sus contraseñas, según una declaración parlamentaria de ese tiempo.
La investigación de la ASD estableció rápidamente que los hackers también habían accedido a las redes del gobernante partido Liberal, su socio de coalición -el partido Nacional- y el opositor partido Laborista, dijeron dos de las fuentes.
En el preciso momento en que se produjo el ataque, tres meses antes de las elecciones de Australia, y después del ciberataque al Partido Demócrata de EEUU antes de las elecciones de 2016 en EEUU, había suscitado preocupaciones de injerencia electoral, pero no había indicios de que la información reunida por los hackers se utilizara de ninguna manera, informó una de las fuentes.
Morrison y su coalición Liberal-Nacional ganaron por poco las elecciones de mayo, un resultado que Morrison describió como un “milagro”.
El ataque a los partidos políticos dio a sus autores acceso a documentos sobre temas como impuestos y política exterior, y correspondencia privada por correo electrónico entre los legisladores, su personal y otros ciudadanos, coincidieron dos fuentes. Los miembros independientes del parlamento y otros partidos políticos no se vieron afectados.

Los investigadores australianos encontraron que el atacante utilizó códigos y técnicas que se sabe fueron utilizadas por China en el pasado, según las dos fuentes oficiales. La inteligencia australiana también determinó que los partidos políticos del país eran un objetivo del espionaje de Beijing, añadieron, sin especificar ningún otro incidente.
Los atacantes utilizaron técnicas sofisticadas para tratar de ocultar su acceso y su identidad, dijo una de las personas, sin dar detalles. Las conclusiones del informe también se compartieron con al menos dos aliados, los Estados Unidos y el Reino Unido, dijeron cuatro personas familiarizadas con la investigación. El Reino Unido envió un reducido equipo de expertos cibernéticos a Canberra para colaborar con la investigación del ataque.

¿CÓMO SE LLEVAN A CABO LOS ATAQUES?

El Centro de Seguridad Cibernética de Australia identificó al actor utilizando diversas técnicas que en inglés se les denomina como de spearphishing, para pescar ciertos accesos en la web.
Esta técnica engancha los enlaces a sitios web de obtención de datos como correos electrónicos con enlaces a archivos maliciosos, o con el archivo malicioso directamente adjunto, enlaces que solicitan a los usuarios que otorguen tokens al actor.
Le permite al hacker hacer seguimiento de correo electrónico para identificar la apertura de correo electrónico y atraer clics. El ataque cibernético ha provocado una escasez temporal y la salida de ciertos productos de los stocks.
La agencia de inteligencia cibernética de Australia -la Dirección de Señales de Australia (ASD)- concluyó que el Ministerio de Seguridad del Estado de China era responsable del ataque, dijeron a Reuters las cinco personas con conocimiento directo de los resultados de la investigación. Las cinco fuentes se negaron a ser identificadas debido a lo delicado del tema.
El informe de la ASD, que también incluía aportes del Departamento de Asuntos Exteriores, recomendaba mantener en secreto los hallazgos para no interrumpir las relaciones comerciales con Beijing, dijeron dos de las personas.

Cabe mencionar que el gobierno australiano no ha revelado quién cree que está detrás del ataque ni ningún detalle del informe.
A todo esto, el Ministerio de Relaciones Exteriores de China negó estar involucrado en cualquier tipo de ciberataque y dijo que Internet estaba lleno de teorías que eran difíciles de rastrear. “Cuando se investiga y determina la naturaleza de los incidentes online debe haber una prueba completa de los hechos, de lo contrario es sólo crear rumores y difamar a otros, poniendo etiquetas en las personas de forma indiscriminada. Queremos subrayar que China también es víctima de los ataques de Internet”, dijo el Ministerio en un comunicado enviado a Reuters. “China espera que se pueda hacer más para beneficiar la confianza con Australia y la cooperación entre los dos países”, agregó.
China es el mayor socio comercial de Australia, dominando la compra de mineral de hierro, carbón y productos agrícolas australianos, comprando más de un tercio del total de las exportaciones del país y enviando allí más de un millón de turistas y estudiantes cada año.
Pero las relaciones entre ambos países han estado marcadas por la tensión este año, específicamente debido al rol del país asiático en la expansión del nuevo coronavirus. Luego de que Australia pidiera una investigación al respecto, China amenazó que ello podría conducir a un boicot de los consumidores al vino australiano o interrumpir los viajes de los turistas del gigante asiático.
Las autoridades australianas consideraban que había una “perspectiva muy real de dañar la economía” si acusaban públicamente a China del ataque, dijo una de las personas.

Referencia:

www.infobae.com/america/mundo/2020/06/19/como-fue-el-sofisticado-ciberataque-que-golpeo-a-empresas-escuelas-y-hospitales-en-australia/

Tu opinión nos ayuda a seguir creciendo.

Seleccioná la cantidad de estrellas que consideres apropiada.

BA-CSIRT, ¿cómo reportar un indicente de ciberseguridad?