Cómo los ciberdelincuentes chinos usan el libro de jugadas de negocios para renovar el subsuelo


Prefacio

Debido a su longevidad y sofisticación técnica, el clandestino cibercriminal ruso ha sido durante mucho tiempo el punto de referencia para los investigadores de amenazas centrados en estudiar las tácticas y técnicas de cibercrimen; Hay una gran cantidad de publicaciones dedicadas a analizar su economía y piratear foros. Sin embargo, solo unos pocos estudios se han centrado en las amenazas y tendencias emergentes de otros subterráneos cibercriminales menos prominentes.

Datos recientes muestran que las ganancias del clandestino cibercriminal chino excedieron los US $ 15.1 mil millones en 2017, al tiempo que causaron más de $ 13.3 mil millones en daños relacionados con la pérdida de datos, el robo de identidad y el fraude. A lo largo de los años, el Grupo de Programas Avanzados de McAfee (APG) ha observado que los grupos de actores de amenazas no estatales chinos se transforman gradualmente de pequeñas redes locales dirigidas principalmente a empresas y ciudadanos chinos a grandes grupos criminales bien organizados capaces de piratear organizaciones internacionales.

El desarrollo de kits de herramientas de explotación a escala comercial y redes criminales que se centran en la monetización del malware han amplificado los crecientes riesgos del delito cibernético en la región de Asia Pacífico para incluir un Ataque DDoS contra el Banco Popular de China en diciembre de 2013, un El truco de SWIFT de $ 1 mil millones contra el Banco de Bangladesh en febrero de 2016 y un robo de $ 60 millones del Far Eastern International Bank en Taiwán en octubre de 2017, por nombrar solo algunos.

Este blog ofrece una visión rara dentro del mundo cibercriminal chino. Analizar sus modelos y técnicas comerciales actuales ha arrojado información sobre los cambios drásticos en sus operaciones, incluidas las tácticas y estrategias que está tomando prestada de los cibercriminales rusos.

Cronología: el surgimiento del subterráneo cibercriminal chino

China estableció su primera conexión de cable a la red mundial en 1994, casi al mismo tiempo que los sindicatos de cibercrimen de Rusia y otros subterráneos cibercriminales emergentes estaban ejecutando sus primeros delitos cibernéticos importantes. Desde entonces, los líderes chinos han priorizado el desarrollo y la aceleración de las tecnologías de Internet y, hoy, el tamaño del uso de Internet en China es masivo e incomparable. 800 millones de usuarios.

Sin embargo, este crecimiento en el uso de Internet no está exento de ironía, ya que se ha visto acompañado por un aumento significativo de la actividad cibercriminal. A pesar de que el gobierno chino da gran importancia a la administración de uno de los sistemas de censura de Internet más sofisticados del mundo, los cibercriminales locales están encontrando soluciones que contribuyen a China tiene una de las economías subterráneas cibercriminales de más rápido crecimiento.

La empresa de ciberdelincuencia de China es grande, lucrativa y se expande rápidamente. Según las estadísticas de desarrollo de Internet de 2018, el subterráneo cibercriminal de China valía más que Estados Unidos. $ 15 mil millones, casi el doble del tamaño de su industria de seguridad de la información. La misma fuente en idioma chino también muestra que el cibercrimen de China está creciendo a un ritmo de más de 30 por ciento un año. Un estimado 400,000 personas trabajar en redes clandestinas de cibercriminales.

Cambios en tácticas, técnicas y procedimientos

Para ampliar rápidamente sus negocios y maximizar el retorno de la inversión (ROI), los ciberdelincuentes chinos han adaptado continuamente sus tácticas, técnicas y procedimientos (TTP). Un cambio significativo es que los ciberdelincuentes chinos se están alejando lentamente de un alto grado de compromiso uno a uno a través de la popular plataforma de mensajería instantánea QQ de China para establecer redes cibercriminales más formales. Estas redes utilizan publicidad centralizada y procesos de servicio estándar similares a los foros clandestinos cibercriminales rusos y otros más sofisticados. Los ciberdelincuentes pueden acceder a estas redes centralizadas de alojamiento en la web para publicar sus productos y servicios. Una gran cantidad de datos robados está disponible a través de servicios automatizados, donde los operadores pueden solicitar la información de la tarjeta de crédito y débito que deseen sin tener que interactuar con otro usuario. Con respecto a los servicios de piratería, los ciberdelincuentes chinos también ofrecen módulos para que los clientes potenciales llenen sus solicitudes de servicio, incluidos los tipos de ataques, las direcciones IP de destino, los kits de herramientas de malware o de explotación deseables y el procesamiento de pagos en línea. Mediante el establecimiento de un modelo estandarizado de venta, los ciberdelincuentes chinos pueden expandir su actividad rápidamente sin incurrir en costos generales adicionales.

Ataques como servicio

Al igual que otros submundos de ciberdelincuencia prominentes, los mercados subterráneos cibercriminales chinos se centran en proporcionar un excelente servicio al cliente. Muchos de los piratas informáticos amplían sus horas de trabajo para incluir los fines de semana e incluso brindan soporte técnico las 24 horas, los 7 días de la semana, a los clientes que no tienen experiencia técnica. Las botnets distribuidas de denegación de servicio (DDoS), las ventas de tráfico, los servicios de escritura de código fuente, el correo electrónico / SMS no deseado y los servicios de inundación están disponibles en los mercados negros chinos.

A pesar de la censura del gobierno, un pequeño número de ciberdelincuentes chinos aún utilizan mercados web oscuros para ofrecer sus servicios y productos. Esos mercados suelen estar especializados en la comercialización de información de identificación personal (PII) robada, cuentas bancarias con saldos elevados, servicios de piratería y personalización de malware. Sin embargo, estos mercados de redes oscuras o foros de piratería no son fácilmente accesibles porque el gobierno chino bloquea la red de anonimato de Tor. Un gran número de ciberdelincuentes chinos continúan utilizando grupos QQ exclusivos y opacos, foros de Weibo y Baidu Teiba para publicidad y comunicación. Los ciberdelincuentes chinos también están activos en la red clara. Para evitar la censura y represión del gobierno, los ciberdelincuentes chinos utilizan ampliamente la jerga u otras tácticas lingüísticas para la comunicación y la publicidad, lo que puede ser difícil de comprender para los extraños. Por ejemplo, los ciberdelincuentes chinos llaman a una computadora o servidor comprometido "carne de pollo". Las cuentas bancarias robadas, las contraseñas de tarjetas de crédito u otras cuentas secuestradas se denominan "cartas" o "sobres". Los sitios web maliciosos y las cuentas de correo electrónico utilizadas para ataques de credenciales de phishing o spam se denominan "cajas". La información o detalles robados almacenados en la parte posterior de la banda magnética de una tarjeta bancaria se denominan "datos", "material de seguimiento" o simplemente "material".

Traslado de la base operativa al extranjero

Otra tendencia notable es que un número cada vez mayor de pandillas cibercriminales chinas están trasladando su base operativa al extranjero, utilizando criptomonedas para lavar dinero. Parecen preferir países y jurisdicciones con legislación débil sobre ciberdelitos o aplicación deficiente, como Malasia, Indonesia, Camboya y Filipinas. Desde 2017, el Ministerio de Seguridad Pública de China ha descubierto más de 5,000 casos de fraude transfronterizo de telecomunicaciones que involucran más de US $ 150 millones. Algunos de los grupos cibercriminales están altamente estructurados y funcionan como grupos tradicionales de tipo mafioso que involucran a profesionales de TI delincuentes; Algunas pandillas chinas de ciberdelincuencia están bien estructuradas con divisiones claras de trabajo y múltiples cadenas de suministro. Los miembros generalmente se encuentran en una proximidad geográfica cercana, incluso cuando los ataques son transnacionales.

Cultura y prácticas únicas

Los piratas informáticos chinos emplean diferentes métodos de pago, estrategias de reclutamiento y estructuras operativas de otros subterráneos cibercriminales. AliPay y las transferencias bancarias son los métodos de pago generalmente aceptados que se anuncian en los foros de piratería en idioma chino; muchos otros foros suelen preferir Monero y Bitcoin.

El "Mecanismo Maestro-Aprendiz", que es una forma de tutoría, desempeña un papel importante en las comunidades de piratas informáticos chinos. Muchos grupos de hackers chinos utilizan la estrategia para reclutar nuevos miembros o obtener ganancias. Como se muestra en el siguiente gráfico, los maestros del grupo de piratería QQ, generalmente autores intelectuales de un grupo del crimen organizado o un administrador de una comunidad de piratería, cobran tarifas de capacitación de los miembros que reclutan. Estos miembros, conocidos como "aprendices" o "piratas informáticos en formación" deben participar en múltiples "misiones" criminales antes de completar los programas de capacitación. Una vez que se completa la capacitación, son elegibles para actualizarse a piratas informáticos de tiempo completo que trabajan para sus amos y responsables de operaciones posteriores, como ataques dirigidos, piratería de sitios web y exfiltración de bases de datos.

Figura 2: Mecanismo maestro-aprendiz (Fuente: Autor)

Crecimiento del cibercrimen chino

La clandestinidad cibercriminal china ha experimentado cambios drásticos a lo largo de los años. Se transformó gradualmente de pequeñas redes locales, dirigidas principalmente a empresas o ciudadanos chinos, a grupos criminales más grandes y bien organizados capaces de piratear organizaciones internacionales. Mi investigación indica que ha habido una creciente actividad de amenaza dirigida a individuos y organizaciones en Corea del Sur, Taiwán, Singapur, Alemania, Canadá y los Estados Unidos. Los ciberdelincuentes chinos ofrecen una amplia variedad de bienes y servicios, que van desde la falsificación física de licencias de conducir de EE. UU. Y Canadá, escaneos de licencias de conducir falsificadas de EE. UU. Y Canadá, números de teléfonos celulares, tarjetas de crédito y tarjetas de identificación de EE. UU. A redes sociales y cuentas de correo electrónico robadas.

Figura 3: Crecimiento del cibercrimen chino (Fuente: Autor)

Como se muestra en las siguientes capturas de pantalla, 1 millón de cuentas de correo electrónico de EE. UU. Robadas con contraseñas cifradas se venden por US $ 117; 1.9 millones de cuentas de correo electrónico alemanas robadas con contraseñas de texto claro están disponibles en el mercado negro chino por US $ 400. Las falsificaciones o escaneos de pasaportes o licencias de conducir de EE. UU. O Canadá también se venden por tan solo US $ 13.

Figura 4: 1 millón de cuentas de correo electrónico de EE. UU. Con contraseñas cifradas están a la venta en el cibercriminal chino
Figura 5: 1.9 millones de cuentas de correo electrónico alemanas robadas con contraseñas de texto claro están a la venta en el cibercriminal chino
Figura 6: Los ciberdelincuentes chinos venden falsificaciones físicas de licencias de conducir canadienses

Como se muestra en la siguiente captura de pantalla, los piratas informáticos chinos también están vendiendo datos personales robados, incluidas tarjetas de identificación y pasaportes de ciudadanos de Taiwán y Corea del Sur.

Figura 7: PII robada de ciudadanos taiwaneses, incluidos números de identificación nacionales, direcciones físicas, números de teléfonos celulares, etc., están a la venta en el cibercriminal chino.
Figura 8: piratas informáticos chinos que venden 17 millones de números de identificación nacional de Corea del Sur

Las credenciales de inicio de sesión para bancos de todo el mundo están disponibles en el mercado clandestino cibercriminal chino, y cuanto mayor sea el saldo disponible de una cuenta, mayor será su precio de venta. Los paquetes de cuentas pirateadas de las principales compañías de redes sociales y plataformas de redes de EE. UU., Proveedores de servicios de juegos y proveedores de servicios de medios se venden por tan solo US $ 29 en el mercado clandestino de delitos informáticos. Estas cuentas de redes sociales a veces se piratean con la intención de usarlas como una forma de generar cuentas falsas para atrapar aún más usuarios de la web. Una gran cantidad de cuentas de correo electrónico de Taiwán (es decir, @ yahoo.com.tw) y proveedores de servicios de correo electrónico de Corea del Sur (es decir, @ nate.com, @ yahoo.com.kr) se venden en el mercado negro chino.

Cada vez más difícil separar el cibercrimen de la actividad de ciberespionaje

A medida que la clandestinidad cibercriminal china expande rápidamente su alcance y sofisticación, es cada vez más difícil separar el delito cibernético de la actividad de espionaje cibernético. Esto es especialmente cierto cuando observo que los ciberdelincuentes chinos ofrecen servicios para espiar a las empresas y vender productos que pueden usarse para atacar a las empresas o funcionarios del gobierno con fines de espionaje económico y político. Uno de los artículos más interesantes que encontré a la venta en el ciberdelincuente chino es un dossier comercial completo sobre empresas chinas y agencias gubernamentales. Algunos hackers chinos venden directorios internos de empleados de compañías de tecnología de alto perfil. Los ciberdelincuentes chinos parecen trabajar con información privilegiada maliciosa o contratan hackers para que trabajen como agentes encubiertos dentro de proveedores de servicios de telecomunicaciones, servicios financieros y compañías de tecnología para robar secretos de la compañía u otra información de propiedad. Los documentos incluyen información de contacto detallada de los CEO y la alta gerencia de las 50 principales compañías de China. Otra información de propiedad comercial, como las credenciales asociadas con las diversas cuentas bancarias, el historial de financiación, las estrategias de marketing y el número de identificación fiscal (TIN) de una empresa también están disponibles para la venta en el mercado negro. Los actores maliciosos pueden usar la información mencionada anteriormente para lanzar ataques dirigidos contra una empresa o aprovechar vulnerabilidades de terceros, como servicios financieros confiables, empresas de personal y proveedores de servicios de TI para infiltrarse en un sistema objetivo.

Conclusión

Las redes de ciberdelincuencia de China están creciendo rápidamente en alcance y sofisticación. En comparación con mi trabajo de investigación anterior sobre el cibercriminal clandestino de China de hace tres años, los cibercriminales chinos han comenzado a adoptar un enfoque sofisticado de modelo de negocio y desarrollar jerarquías complejas, asociaciones y colaboración con grupos cibercriminales en el país y en el extranjero. Estas redes de ciberdelincuencia organizadas y que operan globalmente se basan en países con sistemas legales débiles y cumplimiento de la ley, mientras aprovechan al máximo la conectividad global a Internet para atacar objetivos en todo el mundo. Un número cada vez mayor de ciberdelincuentes chinos de estas redes aprovechan la web profunda para alojar su infraestructura y vender bienes y servicios ilegales, en lugar de depender del compromiso tradicional entre pares a través de la plataforma QQ. Para acelerar la rentabilidad, la comunidad de piratas informáticos chinos ha adoptado tácticas y técnicas similares a las de Rusia y otros mercados clandestinos cibercriminales prominentes para volverse más estructuradas y orientadas a los servicios. Por el contrario, las redes cibercriminales rusas son conocidas por su estructura organizativa criminal multifacética especializada en monetizar el robo de PII y el fraude financiero. Sin embargo, la clandestinidad cibercriminal de China, por otro lado, ha puesto mayor énfasis en la comunidad y el discipulado para lograr ganancias financieras. Muchas de las redes cibercriminales de China incorporan este discipulado, también conocido como el "mecanismo maestro-aprendiz", en una estrategia de reclutamiento que es muy diferente de sus homólogos rusos. A medida que el delito cibernético en China continúa evolucionando y avanzando, las organizaciones internacionales que operan en la región de Asia Pacífico se enfrentan a un panorama de amenazas en expansión debido a la actividad cibercriminal dirigida a activos comerciales de alto valor. La propiedad intelectual y el robo de identidad también pueden causar consecuencias económicas sustanciales.





Enlace a la noticia original