Durante 11 años grupo de piratería de la CIA (APT-C-39) realizó operaciones de ciberespionaje en las industrias críticas de China

Qihoo 360 descubrió y reveló ataques cibernéticos por parte del grupo de piratería de la CIA (APT-C-39) que dura once años contra China. Varios sectores industriales se han enfocado, incluidas las organizaciones de aviación, las instituciones de investigación científica, la industria petrolera, las compañías de Internet y las agencias gubernamentales.

La investigación también muestra que un ex empleado de la CIA, Joshua Adam Schulte, fue responsable de la investigación, desarrollo y producción de armas cibernéticas. Durante los ataques del grupo contra objetivos chinos, fue empleado en el Servicio Clandestino Nacional (NCS) de la CIA como un Oficial de Inteligencia de la Dirección de Ciencia y Tecnología (DS&T) que participó directamente en el desarrollo del arma cibernética – Bóveda 7. Esta pista más atributos El ataque de este grupo APT a la CIA.

Sobre la CIA

La Agencia Central de Inteligencia (CIA) es una de las principales agencias de recolección de inteligencia del gobierno federal de los Estados Unidos. Esta agencia con sede en Langley, Virginia, tiene cuatro direcciones principales:

-La Dirección de Inteligencia (DI)

-El Servicio Nacional Clandestino (NCS, también conocido como la Dirección de Operaciones (DO))

-La Dirección de Apoyo (DS)

-La Dirección de Ciencia y Tecnología (DS&T)

Sus servicios principales incluyen:

-Recopilar información de gobiernos extranjeros, empresas y particulares;

-Analizar la información e inteligencia recopilada por otras agencias de hermanos de EE. UU.

-Proporcionar evaluaciones de inteligencia de seguridad nacional a los responsables de la toma de decisiones de los Estados Unidos;

-Realizar o supervisar actividades encubiertas a solicitud del Presidente de los Estados Unidos.

Cyber ​​Arsenal Vault 7 de la CIA es un avance importante para el descubrimiento de APT-C-39

Desde 2017, WikiLeaks recibió una “copia de seguridad” de los materiales de piratería de Joshua y reveló 8716 documentos de la CIA de los Estados Unidos, incluidos 156 documentos confidenciales que registran detalladamente los métodos de ataque, objetivos, herramientas y especificaciones técnicas del grupo de piratería de la CIA y requisitos. La divulgación contiene una herramienta de piratería Vault 7 (nombre en clave) que se considera el arma cibernética central.

Sin embargo, se analizó el material filtrado de la Bóveda 7 y, asociado con las investigaciones del equipo, descubrió una serie de ataques dirigidos contra la industria de la aviación de China, las instituciones de investigación científica, la industria del petróleo, las grandes empresas de Internet y las agencias gubernamentales.

Estos ataques de once años se remontan a 2008 (desde septiembre de 2008 hasta junio de 2019), y se distribuyen principalmente en provincias como Beijing, Guangdong y Zhejiang. Todos los ataques dirigidos mencionados anteriormente se atribuyen a una organización APT relacionada con Estados Unidos: APT-C-39 (según el sistema de denominación de códigos de Qihoo 360).

¿Cuál es la capacidad de APT-C-39 y cuáles son las amenazas de seguridad que puede presentar? Tomemos como ejemplo el ataque a la industria de la aviación civil.

Como se trata de seguridad nacional, solo revelaremos parte de los datos de inteligencia en poder de Qihoo 360. En el ataque de la CIA contra organizaciones de aviación e instituciones de investigación científica chinas, descubrimos que los atacantes atacaron principalmente a desarrolladores de sistemas en estos sectores para llevar a cabo las campañas. Estos desarrolladores se dedican principalmente a trabajos como tecnología de la información de la aviación civil, como el sistema de control de vuelo, servicios de información de carga, servicios de liquidación y distribución, sistema de información de pasajeros, etc.

La tecnología de la información de la aviación civil se refiere a varios servicios tecnológicos para aerolíneas comerciales nacionales e internacionales, por ejemplo, el sistema de control de vuelo, el sistema de información de pasajeros, el sistema de procesamiento de pasajeros del aeropuerto y los servicios de tecnología de datos e información ampliados.

Vale la pena señalar que los sectores de tecnología de la información atacados de la aviación civil por la CIA no solo se encuentran en China, sino que también involucran a cientos de líneas aéreas comerciales de los estados nacionales. Entonces, ¿cuál es el propósito de este movimiento?

De hecho, la recopilación de inteligencia a largo plazo y dirigida con un cuidadoso despliegue estratégico y una gran cantidad de inversión de recursos son actividades comunes de la CIA.

Especulamos que en los últimos once años de ataques de infiltración, es posible que la CIA ya haya captado la información comercial más clasificada de China, incluso de muchos otros países del mundo. Ni siquiera descarta la posibilidad de que ahora la CIA pueda rastrear el estado del vuelo global en tiempo real, la información del pasajero, la carga comercial y otra información relacionada. Si la suposición es cierta, ¿qué cosas inesperadas hará la CIA si tiene información tan confidencial e importante? Obtenga cifras importantes ‘itinerario de viaje, y luego plantee amenazas políticas o represión militar.

Qihoo 360 rastreó la figura clave de la CIA Cyber ​​Arsenal I + D, Joshua Adam Schulte. Cuando se trata del arma cibernética clave de la CIA, la Bóveda 7, es necesario presentar al ex empleado de la CIA Joshua Adam Schulte.

Joshua Adam Schulte nació en Lubbock, Texas, en septiembre de 1988, se graduó de la Universidad de Texas en Austin. Solía ​​trabajar para la Agencia de Seguridad Nacional (NSA) como pasante durante algún tiempo, y luego se unió a la CIA en 2010 sirviendo en el Servicio Clandestino Nacional (NCS) como Oficial de Inteligencia de la Dirección de Ciencia y Tecnología (DS&T).

Competente en el diseño y desarrollo de armas cibernéticas y con conocimiento de las operaciones de inteligencia, Joshua se convirtió en una de las columnas centrales de las muchas herramientas de piratería importantes de la CIA, incluido un arma cibernética clave: la Bóveda 7.

En 2016, Joshua aprovechó su privilegio de administrador de la sala de máquinas central y una puerta trasera preestablecida para robar los documentos clasificados de Vault 7 y divulgarlos a WikiLeaks, que se publicó en el sitio web de Wikileaks en 2017.

En 2018, Joshua fue arrestado y procesado por el Departamento de Justicia de EE. UU. Por las filtraciones de Vault 7. El 4 de febrero de 2020, en una audiencia pública en la corte federal, el fiscal federal alegó que Joshua, como desarrollador principal y responsable de la máxima autoridad administrativa de su arsenal interno, ha cometido “la mayor fuga de clasificados información de defensa nacional en la historia de la CIA”, al revelar las herramientas secretas de piratería de la agencia a WikiLeaks.

La experiencia personal de Joshua y los materiales filtrados nos proporcionaron pistas importantes, y el hecho de que Joshua desarrolló la Bóveda 7 y la fiscalía en la corte apuntan a la conclusión de que APT-C -39 está afiliado a la CIA.

Cinco pruebas importantes relacionadas revelan que APT-C-39 está afiliado a la CIA

Con la Bóveda 7 como el punto central de asociación, y a través de la serie de experiencias y comportamientos anteriores de Joshua, toda la evidencia lleva a la atribución de APT-C-39. Además, considerando la unicidad y el lapso de tiempo del uso del arma cibernética APT-C-39, Qihoo 360 llegó a la conclusión de que el ataque del grupo fue iniciado por la organización de piratería a nivel estatal, CIA, a la que pertenece Joshua.

La evidencia relacionada se enumera a continuación:

Evidencia 1: APT-C-39 usa armas cibernéticas exclusivas masivas en el proyecto Vault 7 de la CIA

APT-C-39 ha utilizado armas cibernéticas exclusivas de la CIA como Fluxwire, Grasshopper para llevar a cabo ataques cibernéticos contra China.

Al comparar códigos de muestra relevantes, huellas dactilares de comportamiento y otra información, el Qihoo 360 puede estar bastante seguro de que el arma cibernética utilizada por el grupo es el arma cibernética descrita en las filtraciones de Vault 7.

Evidencia 2: Los detalles técnicos de la mayoría de las muestras del APT-C-39 son consistentes con los descritos en los documentos de Vault 7

El análisis de Qihoo 360 encontró que los detalles técnicos de la mayoría de las muestras son consistentes con los del documento de Vault 7, como los comandos de control, compilar rutas de pdb, esquemas de cifrado. Estos son los patrones que generalmente se encuentran en las organizaciones de ataque estandarizadas, y también es uno de los métodos para clasificarlos. Por lo tanto, se cree que el grupo pertenece al grupo nacional de piratería dirigido por la CIA.

Evidencia 3: Antes de que WikiLeaks revelara el arma cibernética Vault 7, el APT-C-39 ya usaba armas cibernéticas relevantes contra objetivos en China.

Por ejemplo, a principios de 2010, el APT-C-39 utilizó la puerta trasera Fluxwire en el arma cibernética Vault 7 en actividades de ataque cibernético en China, que es mucho antes que las fugas de Vault 7. Esto confirma aún más la fuente de estas armas cibernéticas. Después de un análisis en profundidad y descifrado de la versión en la puerta trasera Fluxwire en la Bóveda 7, Qihoo 360 clasificó estadísticamente la versión, el tiempo de ataque y las muestras capturadas por sí misma que APT-C-39 usó para atacar objetivos en China a lo largo de los años, como se muestra en la siguiente tabla:

Evidencia 4: Algunas armas de ataque utilizadas por el APT-C-39 están asociadas con la NSA

WISTFULTOLL es un complemento de ataque en las filtraciones de la NSA de 2014. En un ataque contra una gran empresa de Internet en China en 2011, la organización APT-C-39 utilizó el complemento WISTFULTOOL en el objetivo. Al mismo tiempo, en los documentos confidenciales de la CIA descubiertos por WikiLeaks, se confirmó que la NSA ayudó a la CIA a desarrollar armas cibernéticas, lo que también es una prueba paralela de la asociación entre el APT-C-39 y los EE.UU.

Evidencia 5: el tiempo de compilación de armas del grupo APT-C-39 se encuentra en la zona horaria de EE. UU.

El tiempo de compilación de las muestras capturadas está en línea con las horas de trabajo comerciales de América del Norte.

El tiempo de compilación del malware es un método y estadísticas comunes en la investigación de la atribución del grupo APT. Mediante el estudio del tiempo de compilación del malware, podemos averiguar el cronograma de trabajo del desarrollador para conocer la zona horaria aproximada de su ubicación.

La siguiente tabla es el cronograma de actividades de compilación de APT-C-39 (la hora se basa en la zona horaria del Este 8). Se puede ver que las actividades de la organización están cerca del horario en la zona horaria del este de los Estados Unidos, que está en línea con la ubicación de la CIA. (Virginia, hora del este de EE. UU.).

Tomados junto con el análisis técnico y la evidencia digital anteriores, tenemos muchas razones para creer que el APT-C-39 está afiliado a los Estados Unidos y está involucrado en la ola de ataques de las agencias de inteligencia de los Estados Unidos.

En particular, en el curso de la investigación y el análisis, los datos de Qihoo 360 han demostrado que las armas cibernéticas utilizadas por la organización y las armas cibernéticas descritas en el proyecto CIA Vault 7 son casi idénticas. Las armas de la CIA Vault 7 muestran desde un lado que Estados Unidos ha construido el arsenal de armas cibernéticas más grande del mundo. No solo ha traído una seria amenaza a la seguridad de la red global, sino que también demuestra las altas capacidades técnicas y los estándares profesionales de la organización APT.

La forma de guerra va más allá de la batalla cuerpo a cuerpo de los soldados. El ciberespacio ya se ha convertido en otro campo de batalla importante en la guerra entre las grandes potencias. Si juegas con la CIA, el camino que tenemos por delante es largo y lleno de dificultades y obstáculos.

Centro de inteligencia de amenazas

Desde 2014, Qihoo 360 – Advanced Threat Intelligence Center ha logrado un rápido análisis de inversión y correlación al integrar big data de seguridad masiva. Ha descubierto exclusivamente más de 40 grupos de piratería de APT y una serie de operaciones de APT contra China lanzadas por actores de amenazas de estados nacionales que utilizan 0days en la naturaleza, lo que enriquece enormemente las investigaciones nacionales en este campo. Sus investigaciones muestran que el primer ataque contra China se remonta a 2007 y decenas de miles de dispositivos distribuidos en 31 provincias se vieron afectados. Los ataques APT descubiertos por Qihoo 360 y los proveedores de seguridad de los estados nacionales demuestran que China es una de las principales víctimas de los ataques APT.