En agosto de 2016, un grupo de hackers desconocidos hasta la fecha llamado "Shadow Brokers" proclamó haber sido los primeros en acceder a la Agencia de Seguridad Nacional de los Estados Unidos, más conocida como la NSA. El grupo filtró toda una serie de exploits que posteriormente fueron utilizados para realizar múltiples ataques, como fue el caso del asunto "WannaCry" basado en el exploit "EternalBlue" que la propia NSA llegó a utilizar.
'Shadow Brokers' no querían enriquecerse o vender material, sino buscaban el reconocimiento de haber superado a sus rivales de 'Equation Group', nombre que recibe el equipo de hackers que trabajan para la NSA. Sin embargo lo que parecía un enfrentamiento entre grupos de hackers, ha acabado mostrándose como un acontecimiento más entre la ciberguerra que mantienen China y los EEUU.
Según ha descubierto la firma de seguridad Symantec, los mismos hackers chinos que la agencia de seguridad norteamericana había entrenado durante más de una década cambiaron de bando y aprovecharon su posición en la agencia para obtener información en favor de China.
Este episodio habría ocurrido meses antes de la primera aparición de 'Shadow Brokers', por lo que se cree que estos agentes dobles de la inteligencia china fueron quienes accedieron a la NSA para posteriormente compartir los exploits con grupos de hackers. Es decir, no fue un hackeo externo a los sistemas de la NSA sino que fueron agentes infiltrados quienes desde dentro copiaron y aprovecharon los exploits que desde la NSA estaban utilizando.
Como describe el New York Times; "fue como si un pistolero agarra el rifle de un enemigo y comienza a disparar". Un hallazgo que pone de manifiesto cómo la agencia de seguridad más importante de los EEUU perdió el control de su propio arsenal de ciberseguridad, permitió que hackers chinos lo obtuvieran de sus propios ordenadores y posteriormente lo distribuyeran a grupos de hackers para atacar a múltiples compañías.
Basándose en los detalles de los ataques y el código encontrado en los ordenadores, Symantec cree que China no hackeó la información sobre los exploits, sino que la copió de sus propios ordenadores. Una acción que se enmarca dentro del conflicto entre las dos potencias y muestra cómo los ciberataques y el malware que en su momento EEUU utilizó para destruir centrifugadoras nucleares de Irán, pasó a estar en manos de sus enemigos.
Durante la pasada década, la inteligencia norteamericana ha utilizado exploits como 'EternalBlue', 'EternalRomance' y 'EternalSynergy' para defender sus intereses, pero estos mismos agujeros de seguridad han sido aprovechados por China. Y es que la tecnología de ciberseguridad más avanzada también puede utilizarse contra ellos.
Algunas de las herramientas de hacking capturadas por los agentes chinos fueron después, según Symantec, las mismas que grupos como 'Shadow Brokers' y países como Rusia o Corea del Norte utilizaron para realizar sus ataques. Una filtración en sus sistemas que llevó a que la NSA contactase con Microsoft para que parcheara algunas de las vulnerabilidades que ellos mismos habían utilizado antes.
El grupo de tres atacantes chinos recibe el nombre de 'Buckeye Group', un término para referirse a estos hackers que, según probó el Departamento de Justicia de los EEUU, trabajaban para el Ministerio de Seguridad del Estado chino que opera en Guangzhou.
Symantec no detalla cómo los agentes consiguieron el código, pero sí concluyen que esas vulnerabilidades fueron reutilizadas en al menos cinco países: Bélgica, Luxemburgo, Vietnam, Filipinas y Hong Kong. Con objetivos tan distintos como organizaciones científicas, educativas e incluso la red nacional de un país aliado de los EEUU no especificado.
En marzo de 2016, meses antes de la aparición de 'Shadow Brokers', estos hackers chinos utilizaron versiones modificadas de las herramientas de la NSA llamadas 'Eternal Synergy' y 'Double Pulsar' para sus ataques.
En palabras de Eric Chien, director de seguridad de Symantec:
"Es la primera vez que vemos un caso de un grupo utilizando vulnerabilidades y exploits desconocidos previamente utilizados contra ellos y aprovecharlos para atacar a otros."
El problema con este ataque es que pese a que el Departamento de Justicia acusara a los tres miembros del grupo 'Buckeye' en 2017, las herramientas reutilizadas de los EEUU han seguido utilizándose en Europa y Asia hasta al menos septiembre del año pasado. Muestra que estos agentes chinos compartieron las vulnerabilidades de la NSA para que fueran utilizados ampliamente.
"Hemos aprendido que no se puede garantizar que las herramientas no se filtrarán y no se utilizarán contra nosotros y nuestros aliados", explica Chien.
Según el experto de seguridad que ha destapado el caso, "ya es hora que los gobiernos incorporen un análisis de riesgos al utilizar armas cibernéticas, ya que la posibilidad que las obtengan, reconstruyan y utilicen contra ellos es muy real".
Para la agencia de inteligencia estadounidense, el panorama que describe Symantec es el peor de los escenarios. Y es que el uso de vulnerabilidades por parte del gobierno estadounidense no era un hecho puntual. Bajo la Administración Obama, EEUU creó un 'Proceso de Vulnerabilidades', una base de datos donde almacenaban todos los fallos de seguridad, incluso los no revelados. Ahora, como informa el New York Times, recomiendan no utilizar más esta base de datos ya que el riesgo de que sea utilizado por adversarios como China es muy real.
La ciberguerra se ha vuelto en contra de los Estados Unidos. La potencia norteamericana ha utilizado las herramientas de espionaje digital a su favor, pero la competencia china no se queda atrás. Según un informe del Pentágono, los militares chinos disponen de un "alto nivel en ciberintrusión y no dudan en degradar las principales ventajas operacionales y tecnológicas de los Estados Unidos". Una batalla trasladada al mundo digital donde las vulnerabilidades y los exploits en vez de corregirse son utilizados durante un tiempo como arma para defender el "interés nacional".
.