Hackers chinos atacan sitios web tibetanos con malware, según grupo de ciberseguridad

Image

ARCHIVO - La bandera china ondea en una plaza cerca del palacio de Potala, en Lhasa, en la Región Autónoma de Tíbet, China, el 1 de junio de 2021, durante una visita organizada por el gobierno para periodistas extranjeros. (AP Foto/Mark Schiefelbein, Archivo)

BANGKOK (AP) — Un grupo de hackers que se cree está patrocinado por el estado chino ha comprometido dos sitios web vinculados a la comunidad tibetana en un ataque destinado a instalar malware en las computadoras de los usuarios, según los hallazgos publicados el miércoles por una firma privada de ciberseguridad.

El ataque a los sitios web de Tibet Post y la Universidad Tántrica Gyudmed parece buscar acceso a las computadoras de las personas que los visitan para obtener información sobre ellas y sus actividades, según el análisis del Insikt Group, la división de investigación de amenazas de la consultora de ciberseguridad con sede en Massachusetts Recorded Future.

Los hackers, descritos en el informe como TAG-112, comprometieron los sitios web de modo que los visitantes son inducidos a descargar un archivo ejecutable malicioso disfrazado de certificado de seguridad, dijo Insikt Group. Una vez abierto, el archivo carga el malware Cobalt Strike Beacon en la computadora del usuario que puede ser utilizado para registrar lo que teclea, transferir archivos y otros propósitos, incluyendo la instalación de malware adicional.

“Aunque no tenemos visibilidad sobre la actividad que TAG-112 llevó a cabo en los dispositivos comprometidos en esta campaña, dado su probable mandato de ciberespionaje y el enfoque en la comunidad tibetana, es casi seguro que estaban involucrados en la recolección de información y/o vigilancia en lugar de ataques destructivos”, dijo Jon Condra, director senior de Insikt Group, a The Associated Press.

“Este comportamiento está en línea con el enfoque histórico hacia la comunidad tibetana”, dijo.

Las autoridades chinas han negado consistentemente cualquier forma de ciberataque patrocinado por el estado, y afirman que la propia China es un objetivo principal de ciberataques.

El Ministerio chino de Relaciones Exteriores dijo que no estaba al tanto del hackeo de los dos sitios web reportado por Insikt Group.

“La postura de China sobre el tema de la ciberseguridad es consistente y clara”, dijo el ministerio en una respuesta por fax a una solicitud de comentarios, sin dar más detalles.

Según la investigación del grupo Insikt, los sitios fueron comprometidos por primera vez a finales de mayo y los ataques tienen muchas similitudes con la actividad de un grupo de hackers identificado en el pasado y conocido como TAG-102, lo que lleva a los analistas a concluir que es un subgrupo del grupo ya conocido “trabajando hacia los mismos o similares requisitos de inteligencia”, dijo Insikt Group.

Las similitudes incluyen la reutilización de tácticas, técnicas y procedimientos específicos y el ataque a objetivos idénticos, dijo Condra.

“Estos dos grupos de amenazas están casi seguramente interrelacionados”, dijo.

TAG-102, conocido también por múltiples nombres como Evasive Panda y StormBamboo, está en funcionamiento al menos desde 2012, y está ampliamente considerado como un grupo de amenaza persistente avanzada, o APT, patrocinado por China, dijo Insikt Group.

Entre otras cosas, utiliza estructuras de malware personalizadas que emplean otros grupos de hackers chinos y su enfoque “está en línea con los probables requisitos de inteligencia chinos”, dijo Condra.

“El grupo ha participado en una amplia variedad de campañas a lo largo de los años, con énfasis en el enfoque en individuos y organizaciones en oposición al gobierno chino, como organizaciones de derechos humanos, organizaciones religiosas, grupos étnicos minoritarios, instituciones académicas y partidarios de movimientos democráticos o de independencia en Taiwán, Hong Kong, e incluso en la China continental”, dijo Insikt Group.

La universidad y el sitio web de noticias, ambos ubicados en India, fueron informados por Insikt Group del hackeo. A partir de esta semana, parece que la Universidad Tántrica Gyudmed, que es un centro de aprendizaje sobre el budismo, el idioma, la historia y la cultura tibetanas, ha remediado el problema, mientras que el sitio web de noticias permaneció comprometido, dijo Condra.

The Tibet Post es conocido por promover la democracia, la libertad de expresión y por abogar por la independencia tibetana de China, dijo.

China afirma que el Tíbet ha formado parte de su territorio durante siglos, aunque solo estableció un control firme sobre la región del Himalaya después de que el Partido Comunista llegara al poder durante una guerra civil en 1949.

Muchos tibetanos aún mantienen su lealtad hacia el Dalai Lama, el líder espiritual que ha vivido en el exilio en India desde un levantamiento antichino fallido en 1959.

China ha sido acusada regularmente de abusos de derechos humanos en el Tíbet, incluyendo a principios de este año por sus esfuerzos para urbanizar por la fuerza a aldeanos y pastores como parte de una campaña para asimilar a los tibetanos rurales a través del control sobre su idioma y cultura budista tradicional.

___

Esta historia fue traducida del inglés por un editor de AP con la ayuda de una herramienta de inteligencia artificial generativa.