La policía china está investigando una colección en línea no autorizada y muy inusual de documentos de una empresa de seguridad privada vinculada a la principal agencia policial del país y a otras partes del gobierno: un tesoro que contiene aparentes actividades de piratería y herramientas para espiar tanto al pueblo chino como a documentos catalogados. por extranjeros.
Los objetivos obvios de las herramientas proporcionadas por la empresa afectada I-Soon incluyen grupos étnicos y disidentes en partes de China que han sido testigos de importantes protestas antigubernamentales, como Hong Kong o la región predominantemente musulmana de Xinjiang en el extremo occidental de China.
La descarga de numerosos documentos a finales de la semana pasada y la investigación posterior fueron confirmadas por dos empleados de I-Soon, conocido en mandarín como Anxun, que tiene vínculos con el poderoso Ministerio de Seguridad Pública, el aparato de inteligencia y seguridad de China. El volcado, que los analistas consideran extremadamente significativo aunque no revela ninguna herramienta particularmente novedosa o efectiva, incluye cientos de páginas de contratos, presentaciones de marketing, manuales de productos y listas de clientes y empleados.
Revelan en detalle los métodos de las autoridades chinas para monitorear a los disidentes en el extranjero, piratear otras naciones y difundir narrativas pro-Beijing en las redes sociales.
Los documentos muestran aparentes ataques de piratería informática de I-Soon a redes en Asia central y sudoriental, así como en Hong Kong y la isla autónoma de Taiwán, que Beijing reclama como su territorio.
Las herramientas de piratería son utilizadas por agentes estatales chinos para desenmascarar a los usuarios de plataformas de redes sociales fuera de China como X, antes conocida como Twitter, acceder a correos electrónicos y ocultar las actividades en línea de agentes extranjeros. También se describen dispositivos disfrazados de regletas y baterías que pueden usarse para comprometer las redes Wi-Fi.
I-Soon y la policía china están investigando cómo se filtraron los archivos, dijeron los dos empleados de I-Soon a The Associated Press. Uno de los empleados dijo que I-Soon celebró una reunión sobre la filtración el miércoles, donde se les dijo a los empleados que no afectaría demasiado el negocio y que debían «seguir trabajando como de costumbre». La AP no nombra a los empleados, quienes, de acuerdo con la práctica estándar china, proporcionaron sus apellidos, por temor a posibles represalias.
Se desconoce el origen de la fuga. El Ministerio de Relaciones Exteriores de China no respondió de inmediato a una solicitud de comentarios.
Una fuga extremadamente efectiva
Jon Condra, analista de Recorded Future, una empresa de ciberseguridad, lo calificó como la filtración más significativa jamás relacionada con una empresa «sospechosa de proporcionar servicios de ciberespionaje y de intrusión dirigida a los servicios de seguridad chinos». Dijo que los objetivos de I-Soon – según el material filtrado – incluyen gobiernos, compañías de telecomunicaciones en el extranjero y compañías de juegos de azar en línea en China.
Hasta la filtración de 190 megabytes, el sitio web de I-Soon contenía una página con una lista de clientes encabezados por el Ministerio de Seguridad Pública, incluidas 11 oficinas de seguridad a nivel provincial y alrededor de 40 departamentos de seguridad pública municipales.
Otra página, disponible hasta las primeras horas del martes, promovía capacidades avanzadas de «ataque y defensa» para amenazas persistentes, utilizando el acrónimo APT, uno que la industria de la ciberseguridad utiliza para describir a los grupos de hackers más sofisticados del mundo. Los documentos internos de la filtración describen bases de datos de I-Soon que contienen datos pirateados recopilados por redes extranjeras en todo el mundo, promocionados y vendidos a la policía china.
El sitio web de la compañía estuvo completamente fuera de línea el martes más tarde. Un representante de I-Soon rechazó una solicitud de entrevista y dijo que la compañía emitiría una declaración oficial en una fecha futura no especificada.
I-Soon se fundó en Shanghai en 2010, según documentos de la empresa china, y tiene filiales en otras tres ciudades, incluida una en la ciudad de Chengdu, en el suroeste, que es responsable de la piratería informática, la investigación y el desarrollo, según diapositivas internas filtradas.
La sucursal de I-Soon en Chengdu estuvo abierta como de costumbre el miércoles. Las linternas rojas de Año Nuevo se mecían con el viento en un callejón cubierto que conducía al edificio de cinco pisos que albergaba las oficinas de I-Soon en Chengdu. Los empleados entraban y salían, fumando cigarrillos y bebiendo café para llevar afuera. Presentaba carteles con el emblema del martillo y el mango del Partido Comunista y lemas: «Proteger el Partido y los secretos del país es el deber de todo ciudadano».
Al parecer, la policía china está utilizando las herramientas de I-Soon para frenar la disidencia en las redes sociales extranjeras e inundarlas con contenido pro-Beijing. Las autoridades pueden monitorear directamente las plataformas de redes sociales chinas y ordenarles que eliminen publicaciones antigubernamentales. Pero carecen de esta capacidad en sitios web extranjeros como Facebook o X, donde millones de usuarios chinos acuden en masa para escapar de la vigilancia y la censura del gobierno.
«Hay mucho interés por parte del gobierno chino en monitorear y comentar en las redes sociales», dijo Mareike Ohlberg, investigadora principal del programa para Asia del German Marshall Fund. Ella revisó algunos de los documentos.
Para controlar la opinión pública y prevenir el sentimiento antigubernamental, es crucial controlar las contribuciones críticas a nivel nacional, dijo Ohlberg. «Las autoridades chinas», dijo, «tienen un gran interés en rastrear a los usuarios que residen en China».
La fuente de la filtración podría ser «una agencia de inteligencia rival, un informante insatisfecho o incluso un contratista rival», dijo John Hultquist, analista jefe de amenazas de la división de ciberseguridad Mandiant de Google. Los datos sugieren que los patrocinadores de I-Soon incluyen al Ministerio de Seguridad del Estado y al ejército de China, el Ejército Popular de Liberación, dijo Hultquist.
Muchos destinos, muchos países.
Un borrador de contrato filtrado muestra que I-Soon comercializó soporte técnico «antiterrorista» a la policía de Xinjiang para rastrear a los uigures nativos de la región en Asia central y sudoriental, alegando que la compañía tenía acceso a datos aéreos, móviles y gubernamentales pirateados de países como Mongolia. . Malasia, Afganistán y Tailandia. No está claro si se ha firmado el contrato.
“Vemos muchos ataques contra organizaciones vinculadas a minorías étnicas: tibetanos, uigures. «Gran parte de los ataques a empresas extranjeras pueden verse en el contexto de las prioridades de seguridad interna del gobierno», dijo Dakota Cary, analista de China en la firma de ciberseguridad SentinelOne.
Dijo que los documentos parecían legítimos porque eran consistentes con lo que uno esperaría de un contratista que llevara a cabo ataques de piratería informática contra prioridades políticas internas en nombre del aparato de seguridad de China.
Cary encontró una hoja de cálculo que enumeraba conjuntos de datos recopilados de las víctimas y contó 14 gobiernos como objetivos, incluidos India, Indonesia y Nigeria. Los documentos muestran que I-Soon apoya principalmente al Departamento de Seguridad Pública, dijo.
Cary también quedó impresionado por la intención del Ministerio de Salud de Taiwán de evaluar el número de casos de COVID-19 a principios de 2021, y por el bajo costo de algunos de los trucos. Los documentos muestran que I-Soon exigió 55.000 dólares para piratear el Ministerio de Economía de Vietnam, dijo.
Aunque algunas grabaciones de chat hacen referencia a la OTAN, no hay evidencia de un ataque exitoso a ningún país de la OTAN, según encontró una revisión inicial de los datos realizada por AP. Pero eso no significa que los piratas informáticos chinos respaldados por el Estado no estén intentando piratear a Estados Unidos y sus aliados. Si el filtrador está en China, lo cual es probable, Cary dijo que «compartir información sobre ataques de hackers a la OTAN sería realmente incendiario», un riesgo que podría hacer que las autoridades chinas estén aún más decididas a identificar al hacker.
Mathieu Tartare, investigador de malware de la firma de ciberseguridad ESET, dice que vinculó a I-Soon con un grupo de piratería estatal chino llamado Fishmonger, al que rastrea activamente y sobre el que escribió en enero de 2020, después de que el grupo participara en protestas estudiantiles en universidades de Hong Kong. Kong había pirateado. Dijo que desde 2022, Fishmonger se ha dirigido a gobiernos, ONG y grupos de expertos de Asia, Europa, América Central y Estados Unidos.
El investigador francés de ciberseguridad Baptiste Robert también examinó los documentos y dijo que I-Soon parecía haber encontrado una manera de acceder a las cuentas. Dijo que los operadores cibernéticos estadounidenses y sus aliados se encuentran entre los posibles sospechosos de la filtración de I-Soon porque es de su interés. consiste en descubrir las actividades de piratería informática del Estado chino.
Una portavoz del Comando Cibernético de EE. UU. se negó a comentar si la Agencia de Seguridad Nacional o Cybercom estuvieron involucrados en la filtración. Un correo electrónico a la oficina de prensa de X respondió: «Ocupado ahora, vuelva a consultar más tarde».
Los gobiernos occidentales, incluido Estados Unidos, han tomado medidas en los últimos años para evitar la vigilancia y el acoso del gobierno chino a los críticos del gobierno en el extranjero. Laura Harth, directora de campaña de Safeguard Defenders, un grupo de defensa centrado en los derechos humanos en China, dijo que tales tácticas incitan miedo al gobierno chino entre los ciudadanos chinos y extranjeros en el extranjero, reprimen las críticas y conducen a la autocensura. «Son una amenaza inminente que está constantemente ahí y es muy difícil de librarse».
El año pasado, funcionarios estadounidenses acusaron a 40 miembros de unidades de policía chinas de acosar a familiares de disidentes chinos en el extranjero y de difundir contenido pro-Beijing en línea. Los cargos describen tácticas similares a las descritas en los documentos de I-Soon, dijo Harth. Los funcionarios chinos han acusado a Estados Unidos de actividades similares.
Funcionarios estadounidenses, incluido el director del FBI, Chris Wray, se han quejado recientemente de que los piratas informáticos estatales chinos están plantando malware que podría dañar la infraestructura civil.
El lunes, Mao Ning, portavoz del Ministerio de Asuntos Exteriores chino, dijo que el gobierno de Estados Unidos lleva mucho tiempo trabajando para poner en peligro la infraestructura crítica de China. Pidió a Estados Unidos que «deje de utilizar las cuestiones de ciberseguridad para denigrar a otros países».