Fred Plan, analista senior de FireEye, informó que la empresa ubicó un grupo de ciberespías chinos que aparentemente se especializan en recolectar información de industrias marítimas, y más ampliamente, del sector de ingeniería. Este grupo, a quien llamaron TEMP.Periscope, ha trabajado discretamente como muchos otros grupos chinos después del acuerdo Obama-Xi de finales de 2015.

FireEye observó a TEMP.Periscope iniciar sus operaciones en el verano de 2017, y el grupo ha estado particularmente activo desde este febrero pasado. Las organizaciones objetivo de TEMP.Periscope tienen una conexión con las actuales disputas del sur del Mar de China. Ellos o sus clientes están involucrados en milicia y defensa, el negocio de embarques o están desarrollando tecnologías que serán ventajosas para la industria de defensa o gobiernos en la región.

Por las tendencias del grupo de apuntar a organizaciones de ingeniería, FireEye considera que el grupo busca información técnica que pueda ayudarles a tomar una decisión estratégica. Hipotéticamente esto podría usarse para responder preguntas como “¿cuál es el rango y efectividad de este sistema de radar marino?” o “¿Con qué precisión puede un sistema detectar e identificar actividades en el mar?

Aquí algunas respuestas del analista de FireEye:

  1. ¿Qué fue lo que encontró y qué significa?
  • FireEye encontró un grupo chino de ciber espías que al parecer se especializan en recolectar datos de industrias marítimas, y más ampliamente, del sector de ingeniería. Estos son un par de ángulos que los hacen significativo.

o   Primero, este es un grupo que ha estado silencioso por un tiempo, como muchos otros grupos chinos después del acuerdo Obama-Xi en 2015. FireEye observó a TEMP.Periscope regresar alrededor del verano de 2017 pero han estado cada vez más ocupados desde entonces. Los pasados meses han estado particularmente activos.

o   Segundo, el grupo se especializa en asuntos márítimos. Llamarlos “TEMP.Periscope” ayuda a resaltar eso. Van detrás de datos relevantes a lo largo de múltiples industrias, pero todas relacionadas con lo marítimo.

  1. ¿Qué entidades fueron afectadas?
  • Por varias razones, no podemos nombrar víctimas específicas, pero en la actual ola de actividad FireEye está observando que los objetivos son institutos de investigación, academias y compañías privadas.

o   El común denominador entre estas entidades es que todas están involucradas en industria marítima, su investigación, su trabajo o su campo de especialidad

o   La actividad pasada aparece mayor e incluye apuntar a servicios de consultoría, servicios profesionales y cuidado de la salud. Sin embargo, pensamos que todo está relacionado a objetivos marítimos.

  • Ir tras una firma de consultoría con clientes en la industria marítima, por ejemplo, puede ser una manera de llegar al objetivo deseado.
  • De la misma manera, compañías de salud tienen muchos datos personales que pueden usarse de maneras creativas para ir tras individuos específicos que pueden tener mayores accesos útiles para su misión de ciber espionaje.
  • Cuando decimos “afectado” queremos decir que encontramos alguna evidencia de que TEMP.Periscope estaba activamente tratando de entrar a la organización para buscar algo, alguna clase de datos sensibles o propietarios, o credenciales de algún tipo de otro ángulo que les ayuden a entrar a otra organización. Sin embargo, no podemos compartir qué tan exitoso ha sido este grupo al hacer estas cosas.
  1. ¿Cómo está esto conectado con los asuntos en el sur del Mar de China?
  • Las organizaciones a las que ha apuntado TEMP.Periscope tienen algún tipo de conexión a las disputas que se llevan a cabo en sur del Mar de China. Ellos o sus clientes están involucrados en el ejército o la defensa, negocio de embarques o están desarrollando tecnologías que tendrían ventaja para la industria de defensa o gobiernos de la región.

o   Como ejemplo: cuando envían un correo spear-phishing TEMP.Periscope específicamente imitan una división marítima de una gran corporación multinacional seguramente porque eso ayudaría más eficazmente a apuntar a otros en la industria marítima.

o   Debido a la tendencia de apuntar a organizaciones de ingeniería, pensamos que el grupo va detrás de datos técnicos que puedan ayudar a informar a los tomadores de decisiones. Hipotéticamente podría responder cuestiones como “¿cuál es el rango y efectividad de este sistema de radar marino?” o “¿qué tan preciso puede un sistema detectar e identificar actividades en el mar?”

  1. ¿Cuál era la nacionalidad de los afectados?
  • Principalmente americanos. Históricamente este grupo ha afectado también entidades europeas y una organización en Hong Kong, pero estas víctimas eran de naturaleza similar a las americanas.
  1. ¿Cuántas víctimas?
  • No podemos dar un número específico de víctimas identificadas en este momento, pero podemos decir que esta actividad parece relativamente enfocada.

o   No están tratando de infectar a todos los que puedan de manera oportunista y definitivamente están tomando muchos pasos para permanecer callados y no detectados.

o   A la inversa, el grupo se ha vuelto más ocupado y más activo en los últimos meses, así que pensamos que continuarán operando y buscarán más víctimas.

  1. ¿Esto representa el primer regreso de los ataques chinos a firmas de E.U. desde el acuerdo Xi-Obama?
  • No, no lo es. Inmediatamente después del acuerdo Obama-Xi a finales de 2015, muchos de estos grupos afiliados a los chinos desaparecieron o permanecieron callados. Este fue el caso durante 2016. Sin embargo, en 2017 FIreEye comenzó a detectar que algunos de estos grupos están regresando, muchos con nuevas herramientas y tácticas actualizadas.
  • La actividad de TEMP.Periscope es consistente con esto. Estuvieron callados después de 2015 pero resurgieron en el verano de 2017. Tienen nuevas herramientas, así como versiones actualizadas de viejas herramientas.
  • También parece que estos grupos se están comportando diferente. No van tras propiedad intelectual directamente, sino por datos que pueden ser usados estratégicamente, o están trabajando para obtener y mantener acceso a información. Esto está más en línea con la actividad del espionaje tradicional y no un simple robo.
  1. ¿Qué pueden hacer las organizaciones para defenderse de esta amenaza?
  • Entender al adversario. Esta es la mejor ventaja de amenazas de inteligencia. FireEye les está diciendo a otros acerca de lo que este grupo está haciendo, cómo lo hacen, qué y a quién están buscando y qué señales reveladoras hay para identificar esta actividad.
  • Por supuesto, esta información tiene que alinearse con la postura de defensa de cada quién. ¿Qué tan cercanas están sus operaciones al aparente objetivo central de TEMP.Periscope? ¿Los sistemas de su organización están parchados y actualizados? ¿Sus empleados están informados de la amenaza de spear-phishing y qué tan efectivo puede ser este tipo de ingeniería social? La inteligencia de amenazas ayuda a priorizar sus recursos contra las amenazas más reales e inmediatas.

Más detalles pueden encontrarse en este reporte:

https://www.fireeye.com/blog/threat-research/2018/03/suspected-chinese-espionage-group-targeting-maritime-and-engineering-industries.html