lunes, 6 de mayo de 2013

Ciberespías chinos logran burlar a EE UU y robar secretos militares vitales

Entre los contratistas de defensa, la empresa QinetiQ North America es conocida por sus conexiones en el mundo del espionaje y su asombrosa línea de productos. Sus aportaciones a la seguridad nacional incluyen satélites secretos, aviones no tripulados y software que emplean las fuerzas especiales de Estados Unidos en Afganistán y Oriente Próximo.

El exdirector de la CIA George Tenet fue ejecutivo de la compañía entre 2006 y 2008 y el antiguo responsable de espionaje del Pentágono Stephen Cambone encabezó una de las principales divisiones. La empresa madre, británica, se creó como derivación de un laboratorio de armas del gobierno que había sido la inspiración para el laboratorio de Q en las novelas de James Bond de Ian Fleming, una conexión de la que a QinetiQ aún le gusta presumir.


Sin embargo, la experiencia de esta veterana empresa de espionaje no pudo impedir que los ciberespías chinos la engañaran. Durante tres años, unos piratas informáticos vinculados al ejército chino se infiltraron en los ordenadores de QinetiQ y pusieron en peligro la mayor parte de su labor investigadora, por no decir toda. En un momento dado, se introdujeron en la red interna de la compañía aprovechando un fallo de seguridad que se había descubierto meses antes y nunca se había reparado.

“Encontramos huellas de los intrusos en muchas de sus divisiones y en la mayoría de sus líneas de producto”, dice Christopher Day, que hasta febrero era vicepresidente de Terremark, la división de seguridad de Verizon Communications, contratada en dos ocasiones por QinetiQ para investigar las entradas ilegales. “No hubo prácticamente ningún sitio en el que mirásemos en el que no les encontráramos”.
QinetiQ no era más que uno de los objetivos de una amplia operación de piratería informática. Desde al menos 2007, los hackers chinos se introdujeron en las bases de datos de casi todos los grandes contratistas de defensa de Estados Unidos y lograron hacerse con varios de los secretos tecnológicos más protegidos del país, según dos funcionarios del Pentágono que prefieren mantener el anonimato porque la valoración de daños de los incidentes sigue siendo información reservada.
Ahora que la Casa Blanca se dispone a pedir cuentas a China por la tecnología estadounidense que ha robado gracias a la piratería informática, las autoridades necesitan saber todavía cuánto daño está ya hecho. Durante sus años de ataques contra los contratistas de defensa, los espías robaron varios terabytes --es decir, cientos de millones de páginas-- de documentos y datos sobre programas de armamento, un volumen que deja pequeño cualquier robo de secretos durante la Guerra Fría. Los piratas de QinetiQ quizá pusieron en peligro informaciones vitales para la seguridad nacional, como el despliegue y las capacidades de la flota de helicópteros de combate.
“Son pocos los contratistas de defensa que no han sufrido estos ataques”, dice James Lewis, investigador titular sobre seguridad en el Centro de Estudios Estratégicos e Internacionales en Washington. “Los daños han sido considerables”.
Algunos de estos ataques han llegado a hacerse públicos, como el robo que sufrió Lockheed Martin Corp., en 2007, de tecnología relacionada con el F-35, el avión de combate más avanzado de Estados Unidos. Los responsables de los servicios de inteligencia dicen que los daños son mucho más amplios de lo que se sabe en público y que los piratas chinos han adquirido datos sobre varios sistemas de armas importantes y numerosos menos importantes. Un antiguo funcionario de inteligencia dice que en el Pentágono ha habido discusiones sobre si sería seguro desplegar en combate otro aparato de Lockheed Martin, el F-22 Raptor, después de que vatios subcontratistas hayan sufrido ataques informáticos.
En 2007-2008, el Pentágono llevó a cabo sesiones informativas secretas con alrededor de 30 empresas de defensa para alertarles de la campaña de espionaje y proporcionarles armas que les permitieran defenderse contra ella, según una persona que vivió el proceso. Esta persona no sabe si QinetiQ fue una de las empresas que recibió esa información secreta.
Los investigadores acabaron por identificar a los piratas que, desde Shaghai, habían entrado en QinetiQ, un grupo de élite denominado la Comment Crew por los expertos en seguridad, que también se ha introducido en las redes de grandes compañías y de personajes políticos, incluidas las campañas para las elecciones presidenciales de 2008 de Barack Obama y John McCain. Es posible que interviniera al menos otro grupo más de ciberpiratas chinos, según una persona que está al corriente de la investigación.
En un informe del 18 de febrero, Mandiant, una empresa de seguridad con sede en Alexandria, Virginia, atribuyó 141 grandes ataques informáticos a Comment Crew, sin revelar los objetivos. Mandiant decía que el Comment Crew es la Unidad 61398 del Ejército Popular de Liberación, que equivale, en ciertos aspectos, a al Organismo de Seguridad nacional de Estados Unidos. El informa de Mandiant empujó a Tom Donilon, consejero de seguridad nacional del presidente Obama, a exigir a China que dejara de piratear empresas norteamericanas.
El propósito del espionaje en QinetiQ y otras empresas contratistas de defensa parece ser conseguir que China cierre la distancia que le separa de Estados Unidos en tecnología militar avanzada, ahorrándose años de investigación y desarrollo que le habrían costado miles de millones de dólares, según Michael Hayden, exdirector de la CIA.
También es posible que el ejército chino robara códigos de programación y detalles de diseño que le ayudarían a incapacitar el más sofisticado armamento estadounidense.
La prolongada operación de espionaje contra QinetiQ puso en peligro la delicada tecnología de la empresa relacionada con aviones no tripulados, satélites, robótica militar y la flota de helicópteros de combate del ejército de Estados Unidos, tanto en sistemas ya desplegados como en otros todavía en fase de desarrollo, según las investigaciones internas. Jennifer Pickett, portavoz de QinetiQ, no ha querido hacer ningún comentario por su política general de no hablar sobre medidas de seguridad.
“Dios no quiera que entremos en guerra con China pero, si ocurriera, podría ser muy embarazoso, cuando empezáramos a probar todas estas armas tan complejas y viéramos que no funcionan”, dice Richard Clarke, antiguo consejero especial del presidente George W. Bush sobre ciberseguridad.
La pista de los espías en QinetiQ comienza a finales de 2007, igual que los errores de la empresa. Los esfuerzos de QniteiQ están registrados en cientos de correos electrónicos y docenas de informes que nunca deberían haberse hecho públicos pero formaron parte de un alijo filtrado en 2011 por el grupo Anonymous después de piratear HBGary Inc., una empresa de seguridad informática con sede en Sacramento que QinetiQ había contratado el año anterior.
Los correos e informes son auténticos, según Christopher Day y varios antiguos directivos de HBGary. Day aceptó que se le preguntara sobre las conclusiones de la investigación porque esos documentos ya eran públicos.
Después de examinar los documentos con varios expertos en seguridad y de entrevistar a más de una docena de personas que conocen los ciberataques sufridos por QinetiQ, Bloomberg News ha reconstruido de qué forma los piratas sortearon al equipo de seguridad interna de la empresa y otras cinco empresas más a las que se recurrió para remediar la situación.
Desde su sede en una torre de cristal y acero en McLean, Virginia, la filial estadounidense de QniteiQ es un fabricante de armas de pequeño tamaño, menos d ela décima parte de gigantes del sector como Lockheed y Northrop Grumman Corp. Se ha especializado en campos con perspectivas de crecimiento a medida que se reducen otros apartados del presupuesto del Pentágono, como aviones no tripulados, robótica, software y ordenadores de alta velocidad. Una oferta de empleo publicada en 2012 por las instalaciones de QinetiQ en Albuquerque pedía un programador para trabajar en “un sistema de vigilancia mundial por satélite” y solo aceptaba candidatos con la máxima autorización de seguridad.
En diciembre de 2007, un agente de los Servicios de Investigación Criminal de la Marina se puso en contacto con el pequeño equipo de seguridad de la empresa y les notificó de que dos personas que trabajaban en McLean estaban perdiendo datos confidenciales de sus ordenadores portátiles, según un informe interno. Los servicios de la marina se habían encontrado con los datos robados dentro de otra investigación y querían avisarles como cortesía.
El agente, que trabajaba en San Diego, no proporcionó la identidad de los piratas, a los que los servicios de inteligencia estadounidenses seguían la pista al menos desde 2002, ni tampoco proporcionó el dato crucial --pero secreto-- de que estaban atacando también a otros contratistas de defensa. QinetiQ no sabría quienes eran sus atacantes hasta dos años después.
La compañía emprendió la investigación pero con unos límites estrictos.
“Pensaron que era algo muy restringido, como un virus o algo así”, dice Brian Dykstra, experto forense que trabaja en Columbia, Maryland, y al que QinetiQ contrató para dirigir la investigación.
Solo le dieron cuatro días de plazo para completar su tarea. Dice que no le concedieron el tiempo ni la información necesarios para descubrir si había más empleados que hubieran sido pirateados, que es una medida de precaución habitual. En su informe final, Dykstra advertía que QinetiQ “no parece darse cuenta de la amplitud” de la intromisión.
Casi de inmediato surgieron pruebas que demostraban que Dykstra tenía razón, porque los ataques continuaron. El 7 de enero de 2008, la NASA alertó a la empresa de que unos hackers habían intentado introducirse en el organismo espacial desde uno de los ordenadores de QinetiQ.
Durante los meses posteriores, se produjeron varios ataques que QinetiQ abordó como incidentes aislados. Los piratas siguieron una estrategia más meticulosa: en los primeros dos años y medio, reunieron más de 13.000 contraseñas internas y entraron en servidores que podían darles información detallada sobre la empresa y su modo de organización, unos datos que después emplearían con consecuencias devastadoras.
Nuevas investigaciones desvelaron más agujeros de seguridad. En 2008, un equipo de seguridad descubrió que era posible entrar en la red corporativa interna de QinetiQ desde un aparcamiento de Waltham, Massachusetts, a través de una conexión wifi abierta. Esa misma investigación averiguó que unos piratas informáticos rusos llevaban más de dos años y medio robando secretos de QinetiQ da través del ordenador de una secretaria, que habían manipulado para que enviase los datos directamente a un servidor en la Federación Rusa.
Mientras tanto, los directivos de QinetiQ estaban preocupados porque los costes de la investigación estaban aumentando.
“Una empresa puede llegar a gastarse todos sus recursos investigando este tipo de cosas”, dijo William Ribich, expresidente del QinetiQ's Technology Solutions Group, durante una entrevista en enero. Ribich, que se jubiló en noviembre de 2009, poco después del hallazgo de un gran robo de datos, decía que habia que sopesar el peligro no comprobado de que los piratas utilizaran lo que habían robado con la el hecho de que cada vez había más productos de seguridad y honorarios de asesoría.
“Llega un momento en el que hay que decir ‘Pasemos la página’”, dijo.
De hecho, la primera división que atacaron los piratas chinos fue la de Ribich, con sede en Waltham, y en concreto la tecnología de aviones no tripulados y robótica de QinetiQ. Unos informes internos filtrados por Anonymous hablan de un ataque sufrido por el TSG en febrero de 2008 y otro intento en marzo de ese mismo año. En 2009, los hackers tenían ya el control casi total de los ordenadores del Grupo, según muestran los documentos.
En 2009, durante 251 días seguidos, los espías atacaron al menos 151 máquinas, entre ellas portátiles y servidores, y catalogaron los datos de códigos fuente e ingeniería de TSG. Los piratas extraían datos de la red en pequeños paquetes para evitar ser descubiertos, y consiguieron robar 20 gigabytes antes de que se pusiera fin a la operación, según una evaluación interna de daños.
Entre los datos robados había tecnología militar muy confidencial, en un volumen equivalente a 1,3 millones de páginas de documentos o más de 3,3 millones de páginas de tablas en Microsoft Excel.
“Todas sus claves y sus secretos corporativos han desaparecido”, escribió Phil Wallisch, ingeniero jefe de seguridad en HBGary, en un correo electrónico después de que la empresa le notificara sus pérdidas.
Pero aún quedaba lo peor.
Mientras el equipo de QinetiQ se tambaleaba de una crisis a otra, los piratas informáticos estaban refinando sus habilidades. Se les volvió a ver en marzo de 2010, después de que entraran en la red de la empresa con la contraseña robada de un administrador de red en Albuquerque, Nuevo México, Darren Back.
Los hackers utilizaron el acceso remoto de la empresa, igual que cualquier otro empleado. Si pudieron emplear ese truco fue porque QinetiQ no utilizaba la autenticación de dos factores, una herramienta muy sencilla que genera una clave única que los empleados deben utilizar, además de su contraseña habitual, cada vez que trabajan desde casa.
Unos meses antes, en una revisión de seguridad, se había detectado el problema. Mandiant, que había examinado varias intromisiones sufridas por TSG y había realizado la prueba, recomendó un remedio relativamente barato. Su consejo quedó ignorado, según una persona que conoce el informe.
En cuatro días de frenética actividad, los piratas atacaron al menos 14 servidores, y se interesaron en particular por la sede de la compañía en Pittsburgh, especializada en el diseño robótico avanzado. El Comment Group también utilizó la contraseña de Back para entrar en el ordenador del responsable de control de tecnología de QinetiQ en Huntsville, Alabama, que contenía un inventario de elementos tecnológicos armamentísticos supersecretos y códigos fuente de toda la empresa. Los espías habían dado con el mapa de todos los secretos digitales de QinetiQ.
Al mismo tiempo, habían empezado a extender sus ataques. En abril de 2010, al ver que se acumulaban las pruebas de que los piratas habían entrado en otras divisiones además de TSG, QinetiQ contrató a dos empresas externas, Terremark y una pequeña empresa relativamente nueva, HBGary, encabezada por Greg Hoglund, un antiguo hacker convertido en experto en seguridad.
HBGary instaló software especializado en más de 1.900 ordenadores y los examinó en busca de restos de códigos malintencionados. Enseguida surgieron fallos. De acuerdo con varios correos internos de HBGary, el software no se podía instalar al menos en la tercera parte de los ordenadores, e incluso cuando lo hacía, no detectaba algunos de los que se sabía que habían sido infectados por los espías.
Matthew Anglin, uno de los responsables de seguridad de la información en QinetiQ, con la tarea de coordinar las dos investigaciones, estaba angustiado por no saber lo que estaba ocurriendo en su propia red. Se quejó de que los expertos llevados de fuera no parecían dar con lo que pasaba y estaban perdiendo el tiempo en la búsqueda de un software que era inocuo, aunque no estuviera autorizado.
Los consultores también se pelearon. En un informe, HBGary se quejó de que Terremark ocultaba información vital. Terremark respondió que daba la impresión de que los piratas sabían que HBGary estaba persiguiéndoles y estaban usando su tecnología para borrar las huellas de su presencia en los ordenadores.
“Creen que les delatamos a los atacantes”, escribió en un correo Wallisch, el investigador jefe de HBGary en este proyecto.
Los equipos de seguridad encontraron pruebas de que los hackers se habían introducido en prácticamente todos los rincones de las actividades de QinetiQ en Estados Unidos, incluidos laboratorios de diseño y fábricas en San Luis, Pittsburgh, Long Beach (Mississippi), Huntsville (Alabama) y Albuquerque (Nuevo México), donde los ingenieros de QinetiQ trabajan en proyectos de espionaje por satélite, entre otros.
A mediados de junio de 2010, tras varias semanas de intensa labor, los investigadores pensaron que habían limpiado las redes de QinetiQ y empezaron a rematar la tarea.
La calma duró poco más de dos meses. A principios de septiembre, el FBI llamó a QinetiQ para decir que el contratista de defensa estaba volviendo a perder datos, según varios correos electrónicos y una persona que participó en la investigación. Anglin envió mensajes a HBGary y Terremark para pedirles que volvieran sus equipos cuanto antes.
A las pocas horas de llegar, los investigadores empezaron a encontrar una vez más software malintencionado (malware) en ordenadores de todas las divisiones norteamericanas de la empresa. En algunos casos, estaba allí desde 2009.
Los equipos de seguridad empezaron a darse cuenta de que los piratas habían logrado crear una presencia casi permanente en los ordenadores del contratista de defensa que les permitía extraer nuevos datos en cuanto se grababan en sus discos duros. “No cabe duda... Están jodidos”, escribió Wallisch a Hoglund en septiembre.
Los investigadores también tuvieron que lidiar con la frustración de los empleados de QinetiQ. Molestos por la potencia que consumía el software de detección de HBGary, los trabajadores empezaron a eliminarlo de sus ordenadores, con la aprobación del equipo de tecnología de la información de la empresa.
A medida que avanzaba la búsqueda, surgían más pistas sobre los secretos que perseguían los espías. Encontraron sus huellas digitales en los ordenadores del director ejecutivo de QinetiQ, un vicepresidente de división y docenas de ingenieros y arquitectos de software, incluidas varias autorizaciones confidenciales.
Una de las víctimas fue un especialista en el software incrustado en microchips que controla los robots militares de la empresa, una tecnología que sería útil para el programa chino de construcción de robots, dice Noel Sharkey, experto en aviones no tripulados y robótica de la Universidad de Sheffield, en Gran Bretaña. En abril de 2012, el Ejército Popular de Liberación dio a conocer un robot de desactivación de bombas similar al Dragon Runner de QinetiQ.
La arquitectura de chips también podría ayudar a China a ensayar maneras de tomar o derrotar a robots y aviones no tripulados estadounidenses, dice Sharkey.
“Podrían colocarlos en una placa de simulación y piratearlos”, dice. “Es algo fácil de hacer”.
Los espías también se interesaron por los ingenieros que trabajaban en un innovador programa de mantenimiento para la flota de helicópteros de combate del ejército. Atacaron al menos a 17 personas que trabajaban en lo que se conoce como Mantenimiento según las condiciones (Condition Based Maintenance, CBM), que utiliza sensores de a bordo para reunir datos sobre helicópteros Apache y Blackhawk desplegados en todo el mundo, según expertos que conocen bien el programa.
Las bases de datos de CBM contienen información confidencial, incluidos los números PIN de cada aparato, y podrían haber proporcionado a los piratas un panorama del despliegue, el comportamiento, las horas de vuelo, la durabilidad y otras informaciones cruciales de cada helicóptero norteamericano de combate desde Alaska hasta Afganistán, según Abdel Bayoumi, que dirige el centro de CBM en la Universidad de Carolina del Sur.
Es posible que los hackers aprovecharan asimismo el sistema de QinetiQ para entrar en el Arsenal Redstone del ejército, a través de una red que comparte con los ingenieros de QinetiQ en la cercana Huntsville. Según una persona que conoce los pormenores de la investigación, los investigadores militares relacionaron un allanamiento de la base, que alberga el Mando de Aviación y Misiles del Ejército, con QinetiQ.
No fue la única vez que los piratas aprovecharon rodeos para entrar en ordenadores oficiales. Esa misma persona dice que, todavía el año pasado, unos agentes federales estaban investigando la entrada ilegal en una unidad de ciberseguridad de QinetiQ que sospechaban que los piratas chinos estaban utilizando para atacar objetivos de la administración federal.
Los fallos de seguridad en QinetiQ hicieron que varios organismos federales, como el FBI, el Pentágono y los Servicios de Investigación Criminal de la Marina, llevaran a cabo sus propias búsquedas, según dos personas involucradas que no conocen aún los resultados de la labor.
El Departamento de Estado, que tiene la potestad de revocar la autorización de QinetiQ para manejar tecnología militar restringida si encuentra que ha habido negligencia, no ha emprendido aún ninguna acción contra la compañía. Dos antiguos miembros de las fuerzas del orden dicen que, a pesar de ese poder, el Departamento de Estado no tiene gente con los conocimientos informáticos forenses necesarios para evaluar los daños, y ninguno de ellos recuerda que el Departamento haya participado en ninguna gran investigación sobre robo de datos.
“En este caso, da la impresión de que han pasado años y no se ha aprendido nada, y eso es lo que da miedo”, dice Steven Aftergood, que dirige el Proyecto de Secretos Oficiales en la Federación de Científicos Americanos. “La empresa es responsable de sus fallos, pero el gobierno es responsable de haber tenido una reacción insuficiente”.
Las actividades de QinetiQ en Estados Unidos están supervisadas por un consejo delegado en el que está presente Riley Mixson, el antiguo jefe de guerra aérea de la Marina. El consejo fue informado en varias ocasiones sobre los ciberataques y las investigaciones. En una breve entrevista telefónica, Mixson dijo que “todo estaba debidamente documentado” y colgó. Tener se negó a hacer comentarios.
Las investigaciones no disminuyeron la capacidad de la empresa de obtener contratos del gobierno e incluso proporcionar servicios de seguridad informática a varios organismos federales.
En mayo de 2012, QinetiQ obtuvo un contrato de seguridad informática valorado en 4,7 millones de dólares con el Departamento de Transportes de Estados Unidos, que incluye la protección de algo tan fundamental como las infraestructuras de transportes del país.
“En seguridad informática, QinetiQ no se enteró de nada, así que me asombra que hayan vuelto a ganar”, dijo Bob Slapnik, vicepresidente de HBGary, en 2010, después de que la compañía recibiera una subvención del Pentágono a cambio de asesoramiento sobre métodos para luchar contra el ciberespionaje.
En el otoño de 2010, Terremark envió a Anglin un informe con la conclusión de que QinetiQ había sido blanco del Comment Crew desde 2007 y que los piratas habían actuado sin cesar en sus redes, por lo menos, desde 2009. El informe estaba entre los documentos filtrados por Anonymous.
Para entonces, los hackers controlaban ya casi por completo la red de la empresa. Habían actuado sin obstáculpos durante meses y habían implantado múltimples canales ocultos de comunicaciones para extraer datos. En privado, los investigadores estaban convencidos de que los espías habían logrado todo lo que querían de los ordenadores de QinetiQ.
“En mi opinión, si un pirata lleva años en tu entorno, tus datos han volado”, escribió Wallisch en un correo electrónico a un colega en diciembre de 2010, pocas semanas antes de que la propia HBGary fuera también pirateada.
“Cuando tu enemigo conoce, cataloga y analiza todos los elementos de tu empresa”, escribió Wallisch, “ya no tengo la sensación de apremio
Fuente: El Pais