El Departamento de Justicia de los Estados Unidos ha acusado formalmente a dos miembros de un grupo de piratería que opera en China por acceder ilegalmente a los sistemas informáticos de la aseguradora de salud Anthem y robar información de identificación personal (PII) de 78.8 millones de personas.
Uno de los hackers ha sido identificado por su nombre real, Fujie Wang (también conocido como Dennis Wang), mientras que otro es conocido solo por alias (también conocido como Zhou Zhihong, Kim Young, Deniel Jack) y acusado de ser John Doe. Formaban parte de un grupo más grande cuyos miembros permanecen desconocidos.
Los hackers pasan un año dentro de la red.
Se alega que Fujie y Doe operaban desde China como parte de un colectivo de hackers y llevaron a cabo campañas de intrusión contra empresas en los Estados Unidos.
Según las denuncias, las operaciones se desarrollaron entre febrero de 2014 y finales de enero de 2015. Hubo cuatro víctimas, entre ellas Anthem.
Los hackers pasan alrededor de un año dentro del sistema de Anthem; el asegurador se enteró de la intrusión el 29 de enero de 2015, reveló la violación al público a principios de febrero.
El grupo al que pertenecían los dos piratas informáticos utilizaba el "spear phishing" y "otro malware sofisticado" para comprometer los sistemas informáticos de las víctimas.
Utilizaron su acceso inicial para el movimiento lateral a través de la red en busca de información de identificación personal e información comercial confidencial. En un paso posterior del ataque, los datos se empaquetaron en archivos cifrados y se entregaron a un servidor controlado por hackers a través del servicio de transferencia de datos ShareFile de Citrix.
"Los acusados utilizaron técnicas extremadamente sofisticadas para piratear las redes de computadoras de las víctimas. Estas técnicas incluían el envío de correos electrónicos de pesca submarina especialmente diseñados con hipervínculos incorporados a los empleados de las víctimas", dice la acusación .
A veces, los hackers fueron pacientes y se mantuvieron frescos durante meses antes de dar un nuevo paso para aumentar la persistencia en la infraestructura de la víctima.
Cuando tenían un punto de apoyo seguro, ejecutaban actividades de reconocimiento y buscaban los datos de interés. En el caso de Anthem, robaron nombres, números de identificación de salud, direcciones de correo electrónico, fechas de nacimiento, números de Seguro Social, direcciones postales, números de teléfono, información de empleo y detalles de ingresos.
El Secretario de Justicia Auxiliar Benczkowski dice que: Las acusaciones presentadas hoy en la acusación sin sellar describen las actividades de un grupo de piratería informática basado en China que cometió una de las peores violaciones de datos en la historia. Estos acusados supuestamente atacaron a empresas estadounidenses que operan en cuatro sectores industriales distintos y violaron la privacidad de más de 78 millones de personas al robar su PII.
Una operación clásica
Este tipo de comportamiento generalmente se observa con atacantes sofisticados con un propósito claro y tiempo y recursos suficientes para llevar a cabo la misión con éxito.
La intrusión de Anthem comenzó el 18 de febrero de 2014, desde una de sus subsidiarias. Desde allí, los atacantes se trasladaron el 3 de mayo del mismo año a la red de computadoras de Anthem.
Entre los roles de Fujie en el grupo estaba el de registrar un nombre de dominio, para el cual proporcionó información falsa. Esto se usó como servidor de comando y control para las herramientas de puerta trasera implementadas en los sistemas de la víctima.
La contribución de Doe consistió en alquilar un servidor privado virtual (VPS) usando una cuenta de Alipay. A finales de octubre, utilizaron el servicio VPS y Citrix ShareFile para entregar malware que roba credenciales a las computadoras de Anthem.
Se utilizaron los mismos métodos para robar información confidencial de otras víctimas.
Los dos piratas informáticos están acusados de un cargo de conspiración para cometer fraude electrónico, dos cargos de daño intencional a una computadora protegida y un cargo de conspiración para cometer fraude y actividades relacionadas en relación con las computadoras.
Fecha actualización el 2021-05-10. Fecha publicación el 2019-05-10. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer Version movil