Entre 2011 y 2013, los piratas informáticos respaldados por China atacaron dos docenas de empresas de ductos en USA
NICOLE PERLROTH Y DAVID E. SANGER
La administración de Biden reveló detalles previamente clasificados sobre la amplitud de los ciberataques patrocinados por el Estado chino en los oleoductos y gasoductos estadounidenses durante la última década, como parte de una advertencia a los propietarios de oleoductos para que aumenten la seguridad de sus sistemas para evitar futuros ataques.
De 2011 a 2013, los piratas informáticos respaldados por China atacaron, y en muchos casos violaron, casi dos docenas de empresas propietarias de tales oleoductos, revelaron el FBI y el Departamento de Seguridad Nacional en una alerta.
Por primera vez, las agencias dijeron que juzgaron que las "intrusiones probablemente tenían la intención de obtener acceso estratégico" a las redes de control industrial que ejecutan los oleoductos "para operaciones futuras en lugar de para el robo de propiedad intelectual". En otras palabras, los piratas informáticos se estaban preparando para tomar el control de las tuberías, en lugar de simplemente robar la tecnología que les permitía funcionar.
De los 23 operadores de gasoductos que fueron sometidos a una forma de fraude por correo electrónico conocida como spear phishing , las agencias dijeron que 13 fueron comprometidos con éxito, mientras que tres fueron "casi accidentes". Se desconocía el alcance de las intrusiones en siete operadores debido a la ausencia de datos.
Las revelaciones se producen cuando el gobierno federal intenta galvanizar la industria de los oleoductos después de que un grupo de ransomware con sede en Rusia forzara fácilmente el cierre de una red de oleoductos que proporciona casi la mitad de la gasolina, el combustible para aviones y el diésel que fluye por la costa este.
Ese ataque a Colonial Pipeline , dirigido a los sistemas comerciales de la empresa, no a las operaciones del propio oleoducto, llevó a la empresa a cerrar sus envíos por temor a no saber qué serían capaces de hacer los atacantes a continuación. Siguieron largas colas de gasolina y escasez, lo que subraya para el presidente Biden la urgencia de defender los oleoductos y la infraestructura crítica de Estados Unidos de los ciberataques.
El informe desclasificado sobre las actividades de China acompañó a una directiva de seguridad que requiere que los propietarios y operadores de oleoductos considerados críticos por la Administración de Seguridad del Transporte tomen medidas específicas para protegerse contra ransomware y otros ataques, y que implementen un plan de contingencia y recuperación.
Los pasos exactos no se hicieron públicos, pero los funcionarios dijeron que buscaron abordar algunas de las grandes deficiencias encontradas mientras realizaban revisiones del ataque al Colonial Pipeline.
La directiva sigue a otra en mayo que requería que las empresas reportaran ciberataques significativos al gobierno. Pero eso no hizo nada para sellar los sistemas.
El informe recientemente desclasificado fue un recordatorio de que los piratas informáticos respaldados por la nación atacaron oleoductos y gasoductos antes de que los ciberdelincuentes ideen nuevas formas de mantener a sus operadores como rehenes para pedir un rescate. El ransomware es una forma de malware que cifra los datos hasta que la víctima paga.
El ataque a Colonial Pipeline lo llevó a pagar alrededor de US$ 4 millones en criptomonedas, algunas de las cuales el FBI retiró después de que los criminales dejaron parte del dinero visible en billeteras de criptomonedas. Pero eso fue, como dijo un funcionario policial, un "golpe de suerte". Otro ataque de ransomware unas semanas más tarde extrajo US$ 11 millones de JBS, un productor de productos de carne; nada de eso se recuperó.
Hace casi 10 años, el Departamento de Seguridad Nacional dijo en el informe desclasificado que comenzó a responder a las intrusiones en los oleoductos y los operadores de energía eléctrica a "un ritmo alarmante". Los funcionarios rastrearon con éxito una parte de esos ataques hasta China, pero en 2012, su motivación no estaba clara: ¿Los piratas informáticos buscaban secretos industriales? ¿O se estaban posicionando para algún ataque futuro?
"Todavía estamos tratando de resolverlo", dijo un alto funcionario de inteligencia estadounidense a The New York Times en 2013. "Podrían haber estado haciendo ambas cosas".
Pero la alerta afirmaba que el objetivo era "poner en riesgo la infraestructura de oleoductos de EE.UU.".
"Esta actividad estaba destinada en última instancia a ayudar a China a desarrollar capacidades de ataque cibernético contra oleoductos estadounidenses para dañar físicamente los oleoductos o interrumpir las operaciones de los oleoductos", dijo la alerta.
La alerta fue provocada por nuevas preocupaciones sobre la ciberdefensa de la infraestructura crítica, que se puso de manifiesto con el ataque a Colonial Pipeline. Esa infracción hizo saltar las alarmas en la Casa Blanca y el Departamento de Energía, que determinó que la nación podría haber permitido solo tres días más de tiempo de inactividad antes de que el transporte público y las refinerías químicas se detuvieran.
Mandiant, una división de la firma de seguridad FireEye, dijo que el aviso era consistente con las intrusiones respaldadas por China que rastreó en múltiples compañías de gasoductos y otros operadores críticos de 2011 a 2013. Pero la firma agregó un detalle desconcertante, señalando que “ firmemente ”creía que en un caso, los piratas informáticos chinos habían obtenido acceso a los controles, lo que podría haber permitido el cierre de un oleoducto o podría haber provocado una explosión.
Si bien la directiva no nombró a las víctimas de la intrusión del oleoducto, una de las empresas infiltradas por piratas informáticos chinos durante ese mismo período de tiempo fue Telvent, que monitorea más de la mitad de los oleoductos y gasoductos en América del Norte. Descubrió piratas informáticos en sus sistemas informáticos en septiembre de 2012, solo después de que habían estado merodeando allí durante meses. La compañía cerró su acceso remoto a los sistemas de los clientes por temor a que se utilizara para cerrar la infraestructura de American.
El gobierno chino negó que estuviera detrás de la violación de Telvent. El Congreso no aprobó una legislación de seguridad cibernética que habría aumentado la seguridad de las tuberías y otra infraestructura crítica. Y el país parecía seguir adelante.
Casi una década después, la administración Biden dice que la amenaza de piratería en los oleoductos y gasoductos de Estados Unidos nunca ha sido más grave. “La vida y los medios de subsistencia del pueblo estadounidense dependen de nuestra capacidad colectiva para proteger la infraestructura crítica de nuestra nación de las amenazas en evolución”, dijo Alejandro N. Mayorkas, secretario de seguridad nacional.
La directiva de mayo estableció un período de 30 días para "identificar cualquier brecha y medidas de remediación relacionadas para abordar los riesgos relacionados con los cibernéticos" e informarlos a la TSA y a la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional.
Poco después de asumir el cargo, Biden prometió que mejorar la ciberseguridad sería una de las principales prioridades. Este mes, se reunió con los principales asesores para discutir opciones para responder a una ola de ataques de ransomware rusos contra empresas estadounidenses, incluido uno el 4 de julio contra una empresa de Florida que proporciona software a empresas que administran tecnología para empresas más pequeñas.
La Casa Blanca dijo que el Ministerio de Seguridad del Estado de China, que supervisa la inteligencia, estaba detrás de un ataque inusualmente agresivo y sofisticado en marzo contra decenas de miles de víctimas que dependían de los servidores de correo de Microsoft Exchange.
Por otra parte, el Departamento de Justicia reveló las acusaciones de cuatro ciudadanos chinos por coordinar la piratería de secretos comerciales de empresas de aviación, defensa, biofármacos y otras industrias.
Según las acusaciones, los piratas informáticos de China operan desde empresas pantalla, algunas en la isla de Hainan, y recurren a las universidades chinas no solo para reclutar piratas informáticos para las filas del gobierno, sino también para administrar operaciones comerciales clave, como la nómina. Esa estructura descentralizada, dicen los funcionarios estadounidenses y los expertos en seguridad, está destinada a ofrecer al Ministerio de Seguridad del Estado de China una negación plausible.
Las acusaciones también revelaron que los piratas informáticos "afiliados al gobierno" de China se habían involucrado en sus propias empresas con fines de lucro, llevando a cabo ataques de ransomware que extorsionan a las empresas por millones de dólares.
