Capacidades de China para la ciberguerra

Capacidades de la inteligencia china para la ciberguerra 1 de 29

網絡戰

Capacidades de la

Inteligencia China para

la ciberguerra y el

ciberespionaje


“Si la regla es establecerse primero en un terreno llano, con

más razón hay que hacerlo en uno difícil y peligroso.

¿Cómo se podría ceder un terreno así al enemigo? ”

Sun Tzu, El Arte de la Guerra

Antonio Sanz Alcober

[email protected]

14/Junio/2012


1. Introducción y motivación........................................................................................ 4

2. Resumen ejecutivo ................................................................................................... 4

3. Ciberguerra y ciberespionaje: Principios básicos ..................................................... 6

3.1. Ciberespionaje .................................................................................................. 7

3.2. Proceso de intrusión en un sistema de información........................................ 7

4. China, ciberguerra y ciberespionaje ........................................................................ 9

5. Inteligencia militar: PLA (People’s Liberation Army).............................................. 12

5.1. Tercer Departamento del GSD ....................................................................... 12

5.2. Cuarto Departamento del GSD....................................................................... 13

5.3. Milicias del PLA............................................................................................... 14

6. Inteligencia civil ...................................................................................................... 15

6.1. MSS ( Ministry of State Security ) ................................................................... 15

6.2. MPS ( Ministry of Public Security ) ................................................................. 16

7. Otros activos de inteligencia .................................................................................. 17

7.1. Universidades y Centros de investigación...................................................... 17

7.2. Empresas de tecnologías de la información................................................... 18

7.2.1. Huawei........................................................................................................ 18

7.2.2. ZTE (Zhongxing Telecom Technology Corp) ............................................... 18

7.2.3. Datang Telecommunications...................................................................... 19

7.3. Grupos del underground de la seguridad informática................................... 19

8. Operaciones de inteligencia realizadas .................................................................. 20

8.1. Operación Titan Rain (2003)........................................................................... 20

8.2. Operación Ghost Net (2008) .......................................................................... 20

8.3. Operación Night Dragon (2009) ..................................................................... 21

8.4. Operación Aurora (2010)................................................................................ 21

8.5. Operación Shadows in the cloud (2010) ........................................................ 22

8.6. Ataque a RSA (2011)....................................................................................... 22

8.7. Ataque a Lockheed Martin (2011).................................................................. 23

8.8. Operación Shady Rat (2011)........................................................................... 24

8.9. Operación Byzantine Hades (2011) ................................................................ 24

9. Conclusiones........................................................................................................... 25

10. Bibliografía.......................................................................................................... 26


1. Introducción y motivación

El presente trabajo ha sido realizado por D. Antonio Sanz Alcober, Ingeniero Superior

de Telecomunicaciones, como parte de las tareas necesarias para la superación de la

asignatura “Metodología para el análisis de los servicios de inteligencia”, impartida por

el profesor D. Antonio Díaz.

Este trabajo se engloba dentro de los estudios del título de “Especialista Universitario

en Servicios de Inteligencia”, ofertado de forma conjunta por el Instituto Universitario

Gutiérrez Mellado y la UNED.

2. Resumen ejecutivo

China es una nación muy antigua, con una historia llena de relaciones con la guerra y la

inteligencia y una cultura compleja y a veces complicada de entender por el mundo

occidental.

Dentro de esa forma de ser destaca la tradición de pureza y unidad que el gobierno

chino intenta mantener a toda costa su hegemonía, lo que condiciona sus actos a nivel

geográfico, político, económico y militar. Las potencias extranjeras por un lado, y los

propios conflictos internos (Taiwan, el Tibet, Hong-Kong, Macao, el Falun Gong y los

disidentes chinos) por otro suponen una continua amenaza que tiene a sus ojos que

tiene que ser combatida con decisión, y a ser posible de forma preventiva. De la

misma forma, este nuevo espacio crea un nuevo teatro de operaciones para la

obtención de inteligencia, sobre todo en lo referente a la adquisición de alta tecnología

de potencias extranjeras (uno de los objetivos principales de la inteligencia china).

China ha sido muy consciente de la importancia del “quinto espacio” de la realidad, el

ciberespacio, y se ha posicionado de forma decisiva en el mismo a través de una

reforma integral de su ejército realizando una verdadera revolución organizativa. Se

han realizado importantes esfuerzos para adquirir tecnología que lo habilite para la

ciberguerra, así como crear una base de personal cualificado que sea capaz de realizar

operaciones de ataque y defensa en el ciberespacio. Aunque quizás lo más complejo (y

que todavía parece en proceso) es la tarea de la integración de todos los cuerpos del

ejército chino para la realización de tareas conjuntas.

En lo referente a la inteligencia civil, el MSS y el MPS han integrado la seguridad de la

información dentro de sus estructuras y aprovechan sus posibilidades para cumplir con

sus objetivos de información (el MPS notablemente con el “Gran Cortafuegos de

China”, su arquitectura de bloqueo de información contra el régimen).


Es también importante reseñar que la ciberguerra en todos sus ámbitos está

fuertemente presente en las universidades y centros de investigación, apoyada por el

gobierno con importantes programas de becas, realizando tareas de formación y de

soporte. Tampoco hay que desdeñar la colaboración con el gobierno que existe con las

empresas tecnológicas más importantes, o el apoyo más o menos encubierto con los

grupos del underground de la seguridad chinos.

En resumen, China se ha posicionado de una forma firme en el ciberespacio, y sus

capacidades para la ciberguerra y el ciberespionaje son robustas y cuentan con el

apoyo decidido de la clase política, por lo que se espera que su influencia en esta área

continúe creciendo.


3. Ciberguerra y ciberespionaje: Principios básicos

La guerra informativa o information warfare se puede definir como “las acciones

tomadas para conseguir la superioridad informativa mediante el ataque a la

información del adversario, sus procesos basados en la información, sus sistemas de

información y sus redes de comunicaciones mientras se procede a la defensa de la

información, procesos, sistemas y redes propios” [1].

Dentro del information warfare encontramos dos bloques principales: la guerra

electrónica (Electronic Warfare) y la ciberguerra (cyberwarfare). La guerra electrónica

está relacionada con el ataque y defensa de las comunicaciones, pudiéndose hablar de

términos como intercepción, bloqueo (jamming) y modificación de las señales de

radar, radio y satélite necesarias para establecer una comunicación, teniendo una

componente obvia de SIGINT (inteligencia de señales).

La ciberguerra, por el contrario, se centra en los sistemas de información, y se podría

definir como “aquel conflicto que se resuelve en parte o en totalidad en el

ciberespacio, teniendo sus operaciones como objetivo el atacar los sistemas de

información y control enemigos mientras se defienden los propios” [2]

El objetivo final de la ciberguerra es conseguir la superioridad informativa: poder

negar por completo al adversario la capacidad de operar en el ciberespacio mientras

que las operaciones propias transcurren sin incidencias (un ejemplo comparativo

podría ser la superioridad aérea, concepto fundamental en cualquier guerra moderna).

Aunque en su planteamiento inicial la ciberguerra está planteada para ser realizada

por estados, el concepto es ampliable a cualquier organización con recursos para

lanzar un ataque a gran escala contra los sistemas de información y control de otro

estado u organización.

Dentro de un entorno militar, se pueden definir como blancos de la ciberguerra los

C4ISR (communications, computers, intelligence, surveillance, and reconnaissance,

comunicaciones, ordenadores, inteligencia, vigilancia y reconocimiento), vitales para

cualquier operación militar actual. En un entorno civil podemos hablar de sistemas de

información empresariales, sistemas de control industrial o sistemas de infraestructura

civil (como podrían ser los que controlan la red eléctrica a nivel nacional).

Todas las operaciones de ciberguerra se pueden englobar en las siguientes áreas

definidas por el DoD (Department of Defense) estadounidense [2]:

� Defensa de redes de ordenadores (CND, Computer Network Defense): Acciones

tomadas en las redes de ordenadores para proteger, monitorizar, analizar,

detectar y responder al acceso no autorizado dentro de sistemas de información.


� Explotación de redes de ordenadores (CNE, Computer Network Explotation):

Operaciones destinadas a recopilar información mediante el uso de redes de

ordenadores de sistemas de información y redes de un adversario.

� Ataque de redes de ordenadores (CNA, Computer Network Attack): Acciones

llevadas a cabo a través de redes de ordenadores para disrumpir, denegar,

degradar o destruir información residente en ordenadores o redes de

ordenadores, o los ordenadores y las redes en sí mismas.

3.1. Ciberespionaje

El ciberespionaje es definido por la OTAN como “cualquier ataque dirigido a un sistema

de información con el objetivo de comprometer la confidencialidad del mismo” [3].

En la actualidad, prácticamente toda la información de interés está almacenada en

sistemas de información. Si estos sistemas no están protegidos de manera adecuada,

pueden estar sujetos a ataques que permitan a un intruso extraer información de los

mismos.

Así como la ciberguerra tiene, como su nombre indica, un fuerte componente militar,

el ciberespionaje tiene como misión la obtención de información, estando muy

orientado a la información económica y política (por ejemplo, secretos industriales,

comunicaciones diplomáticas, etc…).

Una de las características más interesantes del ciberespionaje es la integración actual

que tiene con el espionaje tradicional, que hace que en muchos casos se combinen

para conseguir su objetivo (por ejemplo, reclutar un agente que ejecute un troyano en

la empresa para la que trabaja o robar el ordenador portátil de un ministro en un viaje

al extranjero y acceder a la información contenida en su interior).

3.2. Proceso de intrusión en un sistema de información

Para comprender con más profundidad los procesos que se llevan a cabo en acciones

de ciberguerra y ciberespionaje, podemos estudiar las diversas etapas que lo

constituyen.

El proceso seguido para la intrusión en un sistema de información (aplicable tanto a la

ciberguerra como al ciberespionaje) podría dividirse de forma sencilla en las siguientes

fases:

� Reconocimiento: El adversario realiza una exploración del sistema de información

enemigo, con el fin de obtener información acerca de la composición del mismo:

redes, sistemas, servicios y aplicaciones del mismo. Esta exploración se suele hacer

de forma sigilosa, lo que dificulta su detección.


� Penetración: El adversario, a través de la información recogida en el apartado

anterior, explota una vulnerabilidad en el sistema de información enemigo para

ganar acceso al mismo. Las vías de acceso más frecuentes son fallos de seguridad

existentes en el sistema pero no remediados, o el uso de 0-days (fallos de

seguridad desconocidos por el fabricante, para los que no hay remedio publicado).

Otra vía es la introducción de malware (software malintencionado) vía correos

electrónicos, USB o phishing.

� Expansión: Una vez ganada una cabeza de puente en el sistema, el adversario

busca expandirse en el mismo realizando de nuevo tareas de reconocimiento y

penetración, aprovechándose de la menor seguridad que suele existir dentro del

propio sistema de información. En esta fase se identifican y penetran los servicios y

procesos que contienen información de interés y/o realizan misiones críticas.

� Exfiltración: En esta fase se recopila la información que se desea y se extrae del

sistema. Es habitual el uso de canales cifrados como SSL (Secure Socket Layer) o

VPN (Virtual Private Networks), así como el cifrado general de la información (para

denegar la comprobación de la información robada).

� Acceso: Si además de la información se desea tener control de los sistemas de

información, se instalan herramientas de acceso remoto (RAT, Remote Access

Tools), que permiten como su nombre indica tomar el control de parte de un

sistema de información. Con este acceso se pueden realizar acciones con los

mismos permisos que el propietario del sistema, por lo que es posible deshabilitar

servicios, modificar información o incluso destruirla.

Tres elementos quedan fuera de las fases de este proceso pero tienen una importancia

fundamental en cualquier actividad de ciberguerra/ciberespionaje:

� Servidores de Mando y Control (Command & Control servers): Son servidores

intermedios que centralizan las tareas de ataque realizadas contra un sistema de

información. Ofrecen información del estado del ataque, permiten monitorizar el

estado de los diversos agentes y controlar sus acciones). Como pueden estar

localizados en otras partes de la red, ofrecen un nivel extra de seguridad al suponer

un paso intermedio entre el atacante y el destino a atacar.

� Amenazas Avanzadas Persistentes (APT, Advanced Persistent Threat): Se definen

las APT como ataques realizados por una organización que dispone de una amplia

cantidad de recursos, un objetivo definido y una amplia motivación, pudiendo

emplear una gran cantidad de herramientas, técnicas e información [4]. Gran parte

de los ataques de ciberespionaje organizados por un estado se consideran APT.

� Denegación de Servicio Distribuída (DDoS,Distributed Denial of Service): Son

ataques diseñados como su nombre indica para denegar o disrumpir el servicio

prestado por un sistema de información. Se suelen emplear para denegar ciertos

servicios críticos, o para desviar la atención de los defensores de un sistema de

información.


4. China, ciberguerra y ciberespionaje

El gobierno chino desde hace décadas ha destacado por tener un férreo control

político, económico y militar de su área de influencia, tanto a nivel externo como

interno. Si tenemos en cuenta el estado actual geopolítico de la región, China tiene

tanto escenarios externos como internos.

En primer lugar tenemos a las otras grandes potencias de la región, Rusia, Japón y la

India, con las que siempre ha habido tensiones geopolíticas (eso sin tener en cuenta

los EE.UU, cuya proyección de poder les permite estar presentes en este teatro de

operaciones).

En lo referente a los problemas internos, las regiones periféricas de China que siempre

han sido fuente de tensiones (Taiwan y el Tibet como más prominentes, pero sin dejar

a un lado Hong-Kong y Macao) son hogar de disidentes y agitadores tanto propios

como de potencias extranjeras. Todo ello sin olvidarnos de los propios descontentos

del resto de China (entre los que destaca el Falun Gong, disciplina espiritual

ampliamente perseguida en el país).

El ciberespacio es un nuevo espacio en el que librar conflictos (ya denominado por los

estrategas como el “quinto dominio” de la guerra [5], y sus características y

complejidades obligan a los diversos actores a desarrollar nuevas actitudes y

procedimientos.

China ha tomado un enfoque muy directo con la ciberguerra, visionando que supone

un escenario decisivo en el futuro y posicionándose de forma firme en dicho dominio.

Dentro de esos esfuerzos, el más importante es el que denominan como

informationatizing o “informacionización” [6], que consiste en integrar de forma

profunda los sistemas de información y las nuevas tecnologías informáticas dentro de

múltiples niveles de las estructuras tanto civiles como militares chinas.

Esta “informacionización” se ha realizado en primer lugar mediante la adquisición e

implantación de tecnologías de seguridad de sistemas de información, y en segundo

lugar mediante un enorme esfuerzo de capacitación y reclutamiento de personal

cualificado técnicamente y capaz de realizar tareas de defensa y ataque.

En segundo lugar, se ha potenciado con mucha intensidad el desarrollo de

herramientas, tecnologías y procedimientos para la ciberguerra, el ciberespionaje, la

defensa y el contra-ciberespionaje, tanto a nivel de programas de investigación

militares y civiles, como dentro del 12º plan quinquenal (2011-2015) que es redactado

por el gobierno chino y el PLA (People’s Liberation Army o Ejército de Liberación

Popular) [7].


En tercer lugar, y quizás el esfuerzo más complejo, China ha realizado un trabajo muy

importante para integrar todos los cuerpos del ejército chino para la realización de

tareas conjuntas incluyendo la ciberguerra, dentro de lo que denominan como INEW

(Integrated Network Electronic Warfare o Guerra Electrónica y de Red Integradas) [8].

Esta integración permitiría poner a su disposición una gran cantidad de elementos

sobre el terreno en caso de conflicto, así como emplearlos de forma combinada.

En lo referente al terreno civil tanto el MSS (Ministry of State Security o Ministerio

para la Seguridad del Estado) como el MPS (Ministry of Public Security o Ministerio de

Seguridad Pública) se han adaptado con rapidez a este nuevo paradigma, integrando la

ciberguerra y sobre todo el ciberespionaje dentro de sus capacidades para cumplir con

los objetivos de información dictados por el gobierno. A este respecto destaca el MPS

con el Golden Shield, también conocido como el “Gran Cortafuegos de China” [9],

elemento principal de la estrategia de filtrado y vigilancia de la información entrante y

saliente de China.

También le corresponde al MSS el realizar tareas de contraespionaje y

contrainsurgencia, que también tienen sus contrapartidas en el ciberespacio (la lucha

contra los hacktivistas chinos tiene poca visibilidad fuera de sus fronteras pero se

puede estimar amplia y cruenta dado el historial de derechos humanos del país).

El MSS canaliza junto con elementos del PLA todas las labores de ciberespionaje

realizadas contra las potencias extranjeras, cumpliendo con la directiva primaria de

obtención de información y tecnologías (a ser posible secretas y militares) de

gobiernos y empresas. En los últimos años se han producido una serie de ataques

considerados como APT cuya complejidad y profundidad, así como los análisis

realizados, apuntan a China como posible causante (aunque hay que decir que en

ningún caso se han obtenido pruebas definitivas).

Sin embargo, la comisión de revisión de asuntos económicos y de seguridad EE.UU-

China ha denunciado del incremento de los intentos de agentes patrocinados por el

estado de obtener información competitiva, tanto tecnológica como económica, de

empresas estadounidenses [10] (aludiendo a China como posible culpable). Otros

gobiernos como el británico se han hecho eco de estos ataques tanto al ejército como

a compañías de los sectores de las telecomunicaciones y la energía [11], lo que induce

a pensar que el impacto de estas operaciones de ciberespionaje es elevado.

Es también importante reseñar que la ciberguerra en todos sus ámbitos está

fuertemente presente en las universidades y centros de investigación, apoyada por el

gobierno con importantes programas de becas, y realizando tareas de formación y de

soporte. Tampoco hay que desdeñar la colaboración existente del gobierno con las

empresas tecnológicas más importantes, o el apoyo más o menos encubierto con los

grupos del underground de la seguridad chinos.

Otro aspecto a reseñar de la ciberguerra y el ciberespionaje son las lagunas existentes

en la legalidad internacional actual. Así como para la guerra convencional existen

estructuras tales como la convención de Ginebra y un cierto acuerdo general sobre


qué puede considerarse como un casus belli [12], en la ciberguerra y el ciberespionaje

no hay ninguna línea roja establecida, ningún rubicón que cruzar. ¿Es motivo de guerra

el penetrar en un sistema militar?. ¿O dañar seriamente la red eléctrica de un país?.

Esta inexistencia de regulación, unida al hecho de que en muchos casos es difícil

probar de forma veraz y sin ningún lugar a dudas la autoría de los hechos en el

dominio del ciberespacio, ofrecen de forma fácil una plausibilidad de negación que

hace muy interesantes estas operaciones.

A continuación, vamos a tratar con más detalle todos los agentes reseñados en este

enfoque y a definir sus roles y objetivos dentro del gran mapa de la ciberguerra y el

ciberespionaje de China.


5. Inteligencia militar: PLA (People’s Liberation Army)

El ejército chino (PLA, People’s Liberation Army o Ejército de Liberación del Pueblo) es

quizás uno de los elementos de estudio en este trabajo que más ha cambiado en lo

referente a la ciberguerra. Partiendo de un ejército muy numeroso pero

tecnológicamente poco capacitado, los esfuerzos de China para hacer la revolución de

la “informacionización” (punto base de su estrategia de desarrollo para 2006-2020)

[13] han sido tremendos, logrando conseguir una base tecnológica y humana muy

importante en muchos aspectos tecnológicos, entre los que se encuentra como uno de

los puntos críticos las capacidades para la ciberguerra.

Las fuerzas militares chinas se dividen en 4 grandes departamentos: Staff General

(General Staff Department o GSD), Política, Logística y Armamento [14]. Las tareas del

GSD incluyen la planificación, formación y organización de las operaciones del PLA.

Dentro del departamento de Armamento se encuentran las divisiones de los tres

cuerpos del ejército, que aunque cuentan con unidades para la ciberguerra están muy

orientadas a la guerra electrónica y su número es relativamente pequeño.

El grueso de las capacidades para la ciberguerra del PLA viene dado por el GSD, en

concreto por sus departamentos tercero y cuarto (hay que hacer un inciso también en

el apoyo prestado por el segundo departamento, encargado de tareas de análisis de

inteligencia y que aunque no desarrolle labores de ciberguerra bien seguro será

consumidor de toda la inteligencia recabada por los otros departamentos).

5.1. Tercer Departamento del GSD

El Tercer Departamento (Third Department) del GSD es el encargado de forma original

para realizar todas las tareas de inteligencia de señales (SIGINT) del PLA. Para ello

mantiene una gran cantidad de estaciones de radio capaces de interceptar señales de

radio, radar y satélite, así como un buen número de estaciones móviles, plataformas

aéreas y marítimas [15]. Podría decirse que el Tercer Departamento es el análogo

chino de la NSA (National Security Agency o Agencia de Seguridad Nacional

estadounidense).

Se estima que el Tercer Departamento tiene una plantilla de 130.000 personas

repartidas entre analistas, lingüistas, criptólogos, investigadores y técnicos entrenados.

Su misión principal dentro de una estrategia de ciberguerra es la de proteger todos los

sistemas de información militares y gubernamentales, por lo que se les engloba dentro

de la parte de activos dedicados a la CND (Computer Network Defense) [15].

Dado que es uno de los departamentos que más ha crecido en los últimos años,

también está realizando labores de recopilación de inteligencia (CNE, Computer


Network Exploitation) y se le atribuyen algunas capacidades de CNA (Computer

Network Attack).

El Tercer Departamento del GSD se divide en 12 Bureaus (despachos) operacionales,

cada uno con misiones concretas dentro de la estructura general [15]:

� 1º Bureau: Orientado a tareas de análisis criptográfico y dedicado a la

seguridad de sistemas de información.

� 2º Bureau: Despacho regional orientado a obtener información de EE.UU y

Canadá.

� 3º Bureau: Encargado de tareas de intercepción de radio, así como de la

seguridad operativa de las transmisiones radiadas.

� 4º Bureau: Despacho regional centrado en Japón y Korea.

� 5º Bureau: Despacho regional centrado en Rusia.

� 6º Bureau: Despacho regional centrado en Taiwan y el sudeste asiático.

� 7º Bureau: Sin misión clara, se le atribuyen tareas de CND/CNA.

� 8º Bureau: Despacho regional centrado en Europa.

� 9º Bureau: Encargado del análisis estratégico y de la gestión de información.

� 10º Bureau: Despacho regional enfocado a Oriente Medio y Asia central.

� 11º Bureau: Despacho regional centrado en Rusia.

� 12º Bureau: Encargado de las intercepciones de satélites.

Además de los despachos operacionales, el TD tiene una serie de TRB (Technical

Recoinassance Bureaus, Despachos Técnicos de Reconocimiento) repartidos por las 7

regiones militares (MR, Military Regions) de China. Estos TRB realizan funciones

paralelas a los despachos operacionales, pero su misión principal es la prestar tareas

de apoyo a los mandos de las regiones militares.

5.2. Cuarto Departamento del GSD

El Cuarto Departamento (Fourth Department) del GSD es el encargado originalmente

de todo lo relacionado con la guerra electrónica (EW, Electronic Warfare), aunque

dentro de lo relacionado con la ciberguerra se ha reorientado a todas aquellas

operaciones ofensivas, tomando las labores de ataque (CNA, Computer Network

Attack) del PLA [16].

El Cuarto Departamento está dividido en cuatro despachos operacionales (de los que

no se tiene información) y en una numerosa cantidad de unidades de guerra

electrónica integradas en las MR, proveyendo de soporte para la intercepción, bloqueo

y falsificación de señales de radio y radar.

Es importante reseñar que tanto el Tercer como el Cuarto Departamento están

estrechamente relacionados tanto con centros de investigación como con

universidades chinas [10], influyendo en gran medida en la dirección de la I+D y

aprovechándose de los resultados obtenidos.


5.3. Milicias del PLA

El PLA guarda además de sus fuerzas de reserva un contingente de milicias que se

estima en 10 millones de efectivos [17], formado por hombres y mujeres de entre 18 y

30 años.

Aunque como fuerza militar su efectividad es limitada, dentro de las mismas existen

unidades destinadas a la ciberguerra, formadas en gran parte por personal de

empresas tecnológicas, centros de investigación y universidades.

El PLA está haciendo importantes esfuerzos [18] para dar cohesión a estas milicias y

mejorar su efectividad en un posible conflicto. En este caso, las milicias realizarían

tareas de CND y CNA apoyando a las unidades de ciberguerra de ambos

departamentos y cuerpos del PLA.


6. Inteligencia civil

La inteligencia civil se entremezcla con la militar no existiendo en lo relativo a la

ciberguerra, al menos desde el exterior, una visión clara de los objetivos concretos de

unos y otros. Se pueden realizar estimaciones e hipótesis (podríamos decir que la

inteligencia militar va a centrarse, por ejemplo, en instalaciones militares y en robar

información militar; y que la inteligencia civil está orientada a obtener información

diplomática, comercial y tecnológica) pero no se tienen datos claros de esas misiones.

Sin embargo, dada la fuerte cohesión impuesta por el partido comunista chino (CPC),

se puede afirmar que existe una definición de objetivos y una cierta colaboración entre

la inteligencia militar y la civil.

6.1. MSS ( Ministry of State Security )

El MSS (Ministry of State Security o Ministerio de Seguridad del Estado) tiene asignadas

las tareas de inteligencia exterior e interior, espionaje y contrainteligencia,

solapándose en algunos casos al MPS (Ministry of Public Security) debido a luchas

internas [19] por las competencias del MSS en su establecimiento en 1983.

El MSS está más orientado a las tareas de recopilación de inteligencia, por lo que se

puede decir que está más enfocado al ciberespionaje que a la ciberguerra (aunque la

metodología, técnicas, herramientas y procesos son prácticamente los mismos) [16].

Dentro de los objetivos de inteligencia domésticos, destaca la cobertura de las

regiones más conflictivas (como el Tibet, Hong-Kong y Macao), y la vigilancia y control

de los movimientos disidentes (como el Falun Gong o los movimientos pro-

democráticos).

Dentro de los objetivos de inteligencia exteriores vuelve a destacar el seguimiento y

control de los disidentes en el extranjero, así como de las regiones disputadas (Taiwan

siendo el más claro ejemplo). También forma parte de su misión la obtención de

información de potencias extranjeras, enfocada en los aspectos políticos, económicos

y tecnológicos.

El ciberespionaje encaja a la perfección como herramienta para cumplir estos

objetivos. Monitorización de las comunicaciones, intercepción de correos electrónicos,

instalación de herramientas de acceso remoto son algunas de las acciones que el MSS

tiene a su disposición.

Dentro del MSS, el encargado de las tareas de ciberespionaje es el 11ºBureau [20].


En los anexos se destacarán algunos de los casos de ciberespionaje en los que China

aparece como implicada, y en los que el MSS o el PLA aparecen como más que posibles

ejecutores (aunque la falta de información definitiva impide conclusiones claras).

6.2. MPS ( Ministry of Public Security )

El Ministerio de Seguridad Pública (MPS, Ministry of Public Security) tiene las labores

de preservar la seguridad y el orden públicos, estando a cargo entre otras labores de la

policía (PAP, People’s Armed Police), bomberos, control de fronteras, protección de

personalidades y edificios gubernamentales [21].

El MPS perdió gran parte de sus tareas de inteligencia con la creación del MSS en 1983,

pero sigue manteniendo una cierta parte de misiones de contrainteligencia doméstica

(sobre todo en lo referente a la vigilancia de extranjeros en China).

En lo referente a la ciberseguridad, el MSS está encargado de la seguridad de todos los

sistemas de información chinos gubernamentales (exceptuando los del PLA y los del

MSS, que tienen sus propios equipos encargados de ello), siendo el responsable de la

certificación de seguridad de sistemas para uso gubernamental y ofreciendo standards

de seguridad para el entorno civil a fin de mejorar su seguridad [10].

Quizás la responsabilidad más importante del MPS viene dada por la administración de

la infraestructura de censura y control de la información en Internet más grande del

mundo: el Golden Shield o “Gran Cortafuegos Chino” como ha sido denominado por la

prensa extranjera [16].

El Golden Shield tiene como propósito principal controlar la información que llega a

China, filtrando todas aquellas páginas y/o búsquedas de contenidos que no son

aprobados por el gobierno, realizando a su vez tareas de intercepción y monitorización

de comunicaciones realizadas a través de Internet.

Para realizar estas tareas de de bloqueo, el MPS ha dispuesto una serie de routers de

Huawei y Cisco en todas las salidas de tráfico de Internet de China (principalmente en

los cables de fibra óptica que suponen la conexión principal de China con el exterior).

Aunque el MPS no esté especialmente habilitado para la ciberguerra, su gestión del

Golden Shield puede verse como un enorme de paraguas defensivo que puede ser

controlado desde un único centro de control. En caso de un conflicto serio, el Golden

Shield podría emplearse como un símil de lo que sería un “escudo antimisiles”,

proporcionando protección a los sistemas de información chinos.

Por esta gestión y por el control de las comunicaciones (sobre todo para la lucha

contra los disidentes doméstico existentes en la propia China), asociamos el MPS a

tareas de CND y de CNE interior.


7. Otros activos de inteligencia

El esfuerzo de China por integrar a todos sus activos dentro de una misma estrategia

de colaboración ha generado una importante estructura de apoyo a los servicios de

inteligencia militar y civil en lo referente a la seguridad de los sistemas de información,

estructura que puede representar una fuerza importante en caso de un conflicto

importante.

7.1. Universidades y Centros de investigación

Aunque China tenga un enorme interés por la tecnología extranjera y nunca haya

poseído una cultura científica importante, tanto en la “Cuarta Modernización” (1978)

como en el último plan estratégico para el desarrollo (2006-2020) la remodelación de

la estructura científico tecnológica tiene un papel central [22].

Gracias a este importante impulso, China ha desarrollado en relativamente pocos años

una gran capacidad científica y tecnológica, que se traduce en una buena cantidad de

Universidades y Centros de I+D.

Dentro de esta política de fomento de la investigación, la seguridad de sistemas de

información y la ciberguerra es un área caliente, teniendo al menos cinco programas

de financiación relacionados con la seguridad informática, la ciberguerra y la guerra

electrónica.

Las universidades y centros tecnológicos más introducidos en estos aspectos son:

Academy of Military Sciences, National Defense University, Wuhan Communications

Command Academy, National University of Defense Technology, PLA Information y la

Engineering University [10].

Un punto a destacar sería el desarrollo de Kylin (el sistema operativo empleado en

todos los sistemas de alta seguridad chinos, sobre todo del PLA y el MSS) por parte de

la NUDT (National University of Defense Technology ), lo que indica en gran medida la

relación existente entre la universidad y el gobierno [23].

Estas universidades y centros tecnológicos proveen habitualmente de proyectos de

investigación y labores de desarrollo, formación y soporte, por lo que en caso de un

conflicto supondrían un activo a tener en cuenta (no por sus capacidades ofensivas

sino por poder ser el equivalente a la logística de un ejército físico).


7.2. Empresas de tecnologías de la información

Las empresas de base tecnológica, sobre todo de equipamiento de

telecomunicaciones, están fuertemente relacionadas con el gobierno chino en base a

subvenciones, contratos gubernamentales y proyectos de investigación.

Además de realizar tareas de I+D, en caso de un posible conflicto desarrollarían tareas

de soporte (posiblemente a través de las milicias indicadas anteriormente).

7.2.1. Huawei

Fundada en 1988, es en la actualidad uno de las mayores distribuidoras de

equipamiento de telecomunicaciones del mundo, especializándose en la investigación,

desarrollo, producción y venta de redes de comunicaciones a medida para operadoras

de telecomunicaciones.

Los lazos entre Huawei y el PLA son evidentes, ya que la empresa colabora con varios

centros de investigación militares y aparece en casi todos los eventos de la industria de

defensa china [10]. Otro hecho importante es la afirmación de que la actual presidenta

de Huawei, Sun Yafang, trabajó durante varios años para el MSS [24]

Huawei ha desarrollado en los últimos años una política de expansión fuera de su área

tradicional de influencia, el sudeste asiático, intentando sobre todo introducirse en

EE.UU. Esto ha generado polémica al ser vetada en numerosas ocasiones cuando

licitaba concursos para el despliegue de redes de telecomunicaciones

gubernamentales estadounidenses (que alegan no sin cierta razón que los lazos entre

Huawei y el gobierno chino despiertan importantes recelos) [25].

Otra área de conflicto fue la Joint venture realizada con Symantec, una conocida

empresa de software de seguridad informática estadounidense, con la que formó

Huawei-Symantec. Esta empresa conjunta operó desde 2007 a 2011, momento en el

que fue comprada en su totalidad por Huawei. Esta venta fue forzada por las presiones

ejercidas por el gobierno estadounidense contra Symantec, insinuando que no podría

dejar a esta participar en concursos de seguridad informática gubernamentales debido

a sus relaciones con Huawei [24].

7.2.2. ZTE (Zhongxing Telecom Technology Corp)

ZTE es una multinacional de equipos y sistemas de telecomunicaciones móviles, siendo

la segunda empresa de telecomunicaciones en China (detrás de Huawei), y habiéndose

ganado una importante cuota de mercado en algunos países en desarrollo.


ZTE colabora con el PLA [26] a través de diversos centros de investigación y

universidades, investigando en temas de comunicaciones móviles y de satélite y

ofreciendo capacitación a técnicos del PLA. ZTE además es uno de los principales

proveedores de servicios de telecomunicaciones del PLA.

Dentro de EE.UU. ZTE ha sufrido las mismas sospechas por parte del gobierno, que han

sido acentuadas desde que se descubrió una backdoor (puerta trasera) en dos de sus

modelos de terminal móvil más vendidos (Score y Skate) [27], lo que induce a pensar

que ZTE esté intentando introducir vulnerabilidades en la cadena de suministro

estadounidense [10].

7.2.3. Datang Telecommunications

Datang Telecom es la tercera empresa de telecomunicaciones de China después de

Huawei y ZTE, especializándose en cableado y equipamiento de redes ópticas de

telecomunicaciones y de grandes redes móviles.

Datang Telecom es un proveedor oficial de equipamiento de alta tecnología y servicios

del PLA, habiendo reconocida una relación en el desarrollo conjunto de proyectos de

comunicaciones y seguridad de sistemas de información (de hecho, un centro de

investigación de Datang Telecom está habilitado por el PLA para manejar información

de alto secreto, lo que indica el nivel de cooperación establecido) [10].

7.3. Grupos del underground de la seguridad informática

Los grupos del underground de la seguridad informática en China llevan un extenso

periodo de tiempo operando dentro y fuera del país, teniendo su primera aparición

documentada en los ataques a la web de la Casa Blanca a raíz del bombardeo erróneo

de la embajada china en Belgrado durante la guerra de los Balcanes [28].

A lo largo de esos años, el underground de la seguridad informática ha crecido

enormemente, soportando centenares de grupos con una mezcla dispar en número de

miembros y capacidad de los mismos. Sin embargo, podemos destacar varios grupos

como la Honker Union [29], el NCPH (Network Crack Program Hacker) [30] o LuckyCat,

conocidos por haber sido identificados con una serie de ataques a Japón [31].

El underground chino tiene un fuerte componente patriótico, habiendo realizado

numerosos ataques contra objetivos estadounidenses, japoneses y taiwaneses. Este

patriotismo puede ser propio, o instigado por el gobierno chino, que se rumorea que

apoya frecuentemente a estos grupos organizados.

Si bien la capacidad y la organización de estos grupos es variada, la hipótesis de su uso

se plantea acertada ya que ofrecen al gobierno chino negabilidad plausible, siendo

estos grupos una eficaz pantalla ante posibles actividades de ciberespionaje

patrocinadas por el PLA o el MSS.


8. Operaciones de inteligencia realizadas

Como ejemplo de todo lo tratado a lo largo de esta exposición, podemos destacar una

serie de operaciones de ciberespionaje que se han sucedido contra diferentes

entidades gubernamentales, militares y corporativas en todo el mundo.

Aunque hay pruebas definitivas de que China haya sido la originaria de dichos

ataques, se tienen en la mayoría de casos indicios suficientes que la señalan como

autora, sirviendo como una línea base de las capacidades demostradas para el

ciberespionaje de sus diversos actores del teatro de la seguridad de la información.

8.1. Operación Titan Rain (2003)

Titan Rain es la primera operación de ciberespionaje avanzado que apunta a China.

Teniendo como objetivo el sector tecnológico (con énfasis en la industria

aeroespacial), penetró en múltiples sitios comerciales y gubernamentales del sector,

entre los que se pueden destacar la NASA, Lockheed Martin (que realiza numerosos

contratos de defensa con el DoD), y los laboratorios nacionales de Sandia (que realizan

I+D en gran parte militar) [32].

El ataque aprovechaba vulnerabilidades en los sistemas de información (no

especificadas) para penetrar y robar la mayor cantidad de información posible,

redirigiéndola a posteriori a servidores intermedios ubicados en Hong-Kong, Taiwan o

Corea del Sur.

Uno de los investigadores fue capaz de seguir el rastro de los ataques hasta

Guangdong (una importante ciudad china) [33], pero para hacerlo tuvo que entrar en

un servidor taiwanés, por lo que la investigación no pudo aportar esos hechos como

prueba.

8.2. Operación Ghost Net (2008)

Detectada en Junio de 2008, la operación Ghost Net tenía como objetivos diversos

ministerios de asuntos exteriores extranjeros, con un énfasis muy especial en las

organizaciones tibetanas (sobre todo la del Dalai Lama). También se vieron afectadas

entidades bancarias y medios de comunicación, hasta un total de 1295 ordenadores en

103 países [34].

El método de entrada era un ataque de spearphising (variante del phising mucho más

dirigida). Los atacantes enviaron a un grupo reducido de personas correos electrónicos

con información consistente relativa a sus tareas cotidianas, dando un enlace para

descargar un documento. Dicho documento contenía un malware denominado como

ghOst RAT que permitía un control remoto completo de los equipos infectados. A


través de este acceso los atacantes monitorizaban los ficheros y las comunicaciones

realizadas, que dirigían a servidores de C&C (Comando y Control).

Aunque se pudo determinar que el 70% de los servidores de C&C estaban localizados

en China, y a pesar de que hay informes que afirman que fue la culpable [35], no hay

evidencias definitivas y decisivas que impliquen a agentes directamente relacionados

con el gobierno chino (aunque en este punto podríamos realizar la reflexión de quién

más podría tener tanto interés en los asuntos tibetanos…).

8.3. Operación Night Dragon (2009)

Detectada a principios de 2009, la operación Night Dragon tenía como objetivos a

numerosas compañías del sector energético (petroleras, generadoras de energía, gas y

petroquímicas entre otras) [36].

El método de entrada era un ataque de inyección SQL (SQL inyection), consistente en

realizar una consulta maliciosa a la base de datos que existe detrás de un servidor web,

con el fin de lograr que ejecute comandos indebidos (en este caso, descargar un

malware de acceso remoto o RAT y ejecutarlo). Como método secundario se empleaba

un ataque de spearphishing que instalaba el malware en los equipos. Una vez dentro

del sistema, los intrusos se expandían atacando los servidores principales de la

empresa y exfiltrando la información que era de interés de forma cifrada a servidores

de C&C externos.

Aunque se encontraron numerosos indicios de que China estaba implicada en esta APT

(por ejemplo, la mayoría de las exfiltraciones ocurrieron en horario laboral de China y

desde IP asociadas al país, y se encontraron gran cantidad de herramientas de

intrusión de origen chino) [36] no hay pruebas definitivas de que el gobierno chino

esté detrás de estos ataques.

8.4. Operación Aurora (2010)

Iniciada a mediados de 2009 y detectada a principio de 2010, Aurora tenía como

objetivo docenas de compañías comerciales, entre las que destacamos a Google,

Adobe, Yahoo, Dow Chemical y Morgan Stanley entre otras [37]. Importante reseñar

que en el caso de Google, se comprometieron las cuentas de correo de numerosos

disidentes chinos y de ciudadanos americanos y europeos relacionados con la lucha

por los derechos humanos.

El método de entrada aprovechaba una vulnerabilidad 0-day de Internet Explorer

conocida únicamente en el underground de la seguridad informática para introducir un

malware de acceso remoto o RAT en los equipos. Este ataque venía acompañado de un

phishing en el que se invitaba al usuario a visitar una página web (que era la que

activaba la vulnerabilidad y descargaba el troyano). La información era de nuevo

exfiltrada mediante conexiones cifradas a servidores C&C externos.


Varias investigaciones independientes apuntaron a China como la autora de los

ataques, aunque sin pruebas concluyentes [38]. Sin embargo, estos ataques tuvieron

importantes consecuencias, ya que Google lanzó un comunicado en el que se

replanteaba sus operaciones en China [39]. Esto concluyó en un traslado de los

servidores de Google a Hong-Kong [40], para evitar la censura a la que eran sometidos

(Hong-Kong sigue siendo territorio chino pero no está sujeta a muchas leyes chinas,

incluida la de censura en Internet).

8.5. Operación Shadows in the cloud (2010)

Esta operación se inició a mediados de 2010, y aunque estaba dirigida casi en su

totalidad a sistemas de información gubernamentales, académicos, corporativos y

militares de la India afectó también a sistemas de las Naciones Unidas y a la Oficina del

Dalai Lama entre otras [41].

El ataque consistía en un adjunto malicioso que era enviado realizando un ataque de

phishing a multitud de direcciones destino de la India. El adjunto malicioso explotaba

vulnerabilidades conocidas pero sin parches de Microsoft Office y Adobe Acrobat para

descargar e instalar un malware de acceso remoto o RAT. En este caso la exfiltración

de datos fue especialmente grave, ya que los atacantes tuvieron acceso a documentos

calificados como “Top Secret”.

Es necesario reseñar que en este caso se emplearon numerosos servicios online como

apoyo al ataque, sirviendo en algunos casos de pasos intermedios entre los equipos

atacados y los servidores C&C (por ejemplo, el malware enviaba los correos a una

dirección de Yahoo, que luego era descargada por el C&C). También es importante

indicar que en algunos casos se empleó Tor (un anonimizador de la conexión de acceso

a Internet), lo que indica el aumento de la complejidad en la realización de los ataques.

De nuevo existen numerosos indicios de que China está implicada en el ataque, en este

caso, a través de varios grupos de hacking chinos que en muchos casos pueden estar

apoyados de forma directa por el gobierno [41].

8.6. Ataque a RSA (2011)

Este ataque quirúrgico se produjo en Marzo de 2011, y afecto a la compañía RSA,

reconocida por sus tokens SecurID (unos medios criptográficos de acceso seguro

empleados por numerosas agencias gubernamentales y empresas del Fortune 500

americanas) [42].

La penetración se realizó mediante un ataque de spearphising realizado contra varios

empleados de perfil bajo de RSA, que les engañaba para abrir un fichero malicioso que

explotaba un 0-day (fallo de seguridad no conocido de forma pública) de Adobe Flash e

instalaba un malware de acceso remoto o RAT en el sistema.


A través de este RAT los atacantes penetraron en el sistema y al parecer se hicieron

con el código fuente de SecurID, lo que aunque en primera instancia fue denegado por

RSA obligó a los pocos meses a cambiar cerca de 40 millones de tokens [43].

En este caso la implicación de China vuelve a insinuarse (sobre todo porque los

analistas forenses empiezan a ver similitudes con operaciones anteriores cuya autoria

se sospecha china). Oficiales de inteligencia estadounidenses llegan a acusar

directamente a China de haber orquestado el ataque [44].

8.7. Ataque a Lockheed Martin (2011)

Tan solo tres meses después del ataque a RSA, Lockheed Martin sufrió un severo

ataque a través de su acceso VPN (Virtual Private Network o Red Privada Virtual). Las

VPN son un medio común de acceder a redes corporativas o gubernamentales, que en

los casos de alta seguridad emplean un sistema de doble autenticación (basado en

muchos casos en tokens de seguridad SecurID y un par usuario/contraseña) [45].

Estos sistemas requieren conocer un usuario y una contraseña y necesitan tener

físicamente un dispositivo (el token) que genera una cadena aleatoria de caracteres

que debe ser introducida junto con la contraseña.

La hipótesis para la realización del ataque es que los intrusos obtuvieron a través del

ataque a RSA información del funcionamiento de los tokens SecureID que emplearon

luego para duplicar el token de un empleado de Lockheed Martin, accediendo a

posteriori a sus datos de acceso mediante otro medio.

El impacto para Lockheed Martin está todavía por evaluar, pero hay que tener en

cuenta que LM es un gran contratista de defensa del gobierno estadounidense

(realizando trabajos en los F-22 y los F-35). Todavía no se dispone de un informe

detallado de la información exfiltrada.

De nuevo China aparece en el punto de mira [46], por sus relaciones con el ataque a

RSA y por lo que parece ya una tendencia a una “guerra fría” entre China y EE.UU.


8.8. Operación Shady Rat (2011)

Esta operación se detectó a mediados de 2011, pero al parecer llevaba en

funcionamiento desde 2006, afectando a numerosas empresas, organismos

gubernamentales y ONG. Es interesante reseñar que se vieron afectados el Comité

Olímpico Internacional, los comités olímpicos asiático y europeo, y la Agencia Mundial

Antidopaje (algo, que con los juegos olímpicos organizados por China en 2008 ofrecen

interesantes indicios acerca de la autoría del ataque) [47].

El ataque se realizaba a través de un fallo de seguridad de Microsoft Excel, ejecutado a

través de un ataque de spearphishing a los miembros de las entidades afectadas. El

exploit se descargaba un malware de acceso remoto o RAT que permitía tomar el

control del equipo [48].

Este ataque es peculiar por el periodo de tiempo a través del cual ha sido realizado. Se

estima que en los cinco años del ataque se han podido descargar del orden de 1Pb

(1024Tb) de datos de los equipos infectados [47]. Con el historial de indicios relativos a

China, en este caso ya las denuncias (aunque de nuevo carentes de pruebas

definitivas) han sido más fuertes [49].

8.9. Operación Byzantine Hades (2011)

Esta operación es peculiar porque aunque se realizó entre 2003 y 2008, solo se ha

empezado a obtener información de la misma hace relativamente poco. Teniendo

como objetivos sistemas gubernamentales estadounidenses, franceses y alemanes,

mantiene el mismo esquema de spearphishing + vulnerabilidad + RAT + exfiltración de

información.

Al parecer, en este caso los indicios de participación china son más fuertes, ya que lo

enlazan directamente con un TRB (Tecnhical Reconnaisance Bureau) del PLA

(concretamente, el de la región militar de Chengdu) [50].


9. Conclusiones

El ciberespacio es un nuevo territorio, con sus características particulares y sus

posibilidades. Como cualquier nuevo territorio, existen partes interesadas en

posicionarse de forma prominente y en reclamar una buena parte del mismo para sí

mismos.

En este escenario, China ha realizado un muy importante esfuerzo de modernización,

desarrollo e integración de las nuevas tecnologías dentro de sus procesos de

inteligencia, teniendo en la actualidad unas elevadas capacidades para la ciberguerra y

el ciberespionaje dentro de los entornos militar y civil. De esta forma se ha logrado

colocar al nivel de EE.UU. como gran potencia presente en el ciberespacio, por encima

de otras potencias destacadas en esta área como Rusia, Japón o Israel.

China ha hecho buen uso de la experiencia acumulada en la ciberguerra y el

ciberespionaje para satisfacer sus necesidades de inteligencia exterior, siendo

sospechosa de numerosas operaciones contra organizaciones gubernamentales,

militares y corporativas principalmente contra EE.UU, pero afectando también al resto

del mundo. Aunque la autoría de estas operaciones nunca ha sido confirmada de

forma ineludible, los medios empleados y los objetivos atacados inducen a pensar que

China es la responsable de estos ataques.

El peligro del uso de la ciberguerra y el ciberespionaje tiene dos vertientes: el primero,

el uso de ciberarmas que puedan quedar fuera del control del propietario y causar

graves daños colaterales, de una forma similar a un misil que se desvía y termina

cayendo sobre objetivos civiles.

El segundo peligro principal es la negabilidad del uso de las mismas, que puede

intensificar las tensiones existentes entre naciones y llegar a provocar una escalada del

conflicto que termine en daños a sistemas civiles o en un posible conflicto armado.

Lo que queda claro es que la ciberguerra y el ciberespionaje son dos peligros más que

gobiernos, empresas y particulares corren hoy en día. Es necesario pues hacer un

análisis de las debilidades, amenazas, fortalezas y oportunidades que Internet supone

para la seguridad de sus sistemas de información, y tomar las medidas necesarias a fin

de fortalecerlos debidamente, minimizando el riesgo de ser afectados por un ataque.


10. Bibliografía

Bibliografía recomendada

USCC Report Chinese Capabilities for Computer Network Operations and CyberEspionage

http://www.uscc.gov/RFP/2012/USCC%20Report_Chinese_CapabilitiesforComputer_N

etworkOperationsandCyberEspionage.pdf

Mark Stokes, Jenny Lin, and L.C. Russell Hsiao, "The Chinese People’s Liberation Army Signals

Intelligence and Cyber Reconnaissance Infrastructure" (Project 2049 Institute, November 11,

2011)

http://project2049.net/documents/pla_third_department_sigint_cyber_stokes_lin_hsi

ao.pdf

Referencias

[1] Information Warfare – Reto E. Haeni

http://www.trinity.edu/rjensen/infowar.pdf

[2] US Department of Defense – Dictionary of Military Terms

http://www.dtic.mil/doctrine/new_pubs/jp1_02.pdf

[3] Cyber Security Strategy for Germany

http://www.nato.diplo.de/contentblob/3067702/Daten/1132940/Cyberstrategy_engl_

DLD.pdf

[4] Advanced Persistent Threat (APT)

http://www.schneier.com/blog/archives/2011/11/advanced_persis.html

[5] Centre for Strategic Cyberspace

http://www.cscss.org/cyber_warfare_centre.php

[6] 21th Century Chinese Cyberwarfare, William T. Hagestad II, IT Governance Publishing, 2012

[7] Beijing Bones up its Cyber-Warfare Capacity

http://www.jamestown.org/single/?no_cache=1&tx_ttnews[tt_news]=36007

[8] Chinese Cyberwarfare Capabilities – Desmond Ball, Security Challenges 7, 2011

http://www.securitychallenges.org.au/ArticlePDFs/vol7no2Ball.pdf

[9] China’s Golden Shield – Greg Walton

http://publications.gc.ca/collections/Collection/E84-7-2001E.pdf

[10] USCC Report Chinese Capabilities for Computer Network Operations and CyberEspionage

http://www.uscc.gov/RFP/2012/USCC%20Report_Chinese_CapabilitiesforComputer_N

etworkOperationsandCyberEspionage.pdf


[11] China’s Use of Cyberwarfare: Espionage meets strategic deterrence – Magnus Hjortdal,

University of Copenhagen

http://scholarcommons.usf.edu/cgi/viewcontent.cgi?article=1101&context=jss

[12] Ethical Issues of Cyberwarfare, Randall R. Dipert

http://www.cetmons.org/files/documents/library/thrust5_cyberwarfarecommand.pdf

[13] “PLA General Staff Dept Reveal Three Major Military Training Tasks for 2006,” PLA Daily,

January 3, 2006 OSC ID CPP20060103510001

[14] David Finkelstein, "The General Staff Department of the Chinese People’s Liberation Army:

Organization, Roles, & Missions" in James Mulvenon and Andrew N. D. Yang, eds., The People’s

Liberation Army as Organization Reference Volume v1.0 (RAND Corp., 2002): 125-133

[15] Mark Stokes, Jenny Lin, and L.C. Russell Hsiao, "The Chinese People’s Liberation Army

Signals Intelligence and Cyber Reconnaissance Infrastructure" (Project 2049 Institute,

November 11, 2011)

http://project2049.net/documents/pla_third_department_sigint_cyber_stokes_lin_hsi

ao.pdf

[16] 21th Chinese CyberWarfare – William T. Hagestad II, IT Governance Publishing

[17] People's Liberation Personel – GlobalSecurity.org

http://www.globalsecurity.org/military/world/china/plan-personel.htm

[18] Information Office of the State Council of the People's Republic of China, "China's National

Defense in 2006" (29 December 2006).

[19] MSS History – GlobalSecurity.org

http://www.fas.org/irp/world/china/mss/history.htm

[20] Historical dictionary of Chinese intelligence - I C Smith, Nigel West Scarecrow Press,

2012.

[21] The Ministry of Public Security of the PRC - Web

http://big5.mps.gov.cn/SuniT/www.mps.gov.cn/English/index.htm

[22] China embraces new scientific development concept

http://english.people.com.cn/200604/22/eng20060422_260256.html

[23] China's 'secure' OS Kylin - a threat to U.S offensive cyber capabilities?

http://www.zdnet.com/blog/security/chinas-secure-os-kylin-a-threat-to-us-offensive-

cyber-capabilities/3385

[24] Huawei Symantec, "Huawei Acquires Symantec Stake in Huawei Symantec Joint Venture"

(14 November 2011).

http://jeffreycarr.blogspot.com.es/2011/10/here-are-facts-about-huawei-and-

chinese.html


[25] China Militar Power – Annual Report to Congress 2008

http://www.defense.gov/pubs/pdfs/China_Military_Report_08.pdf

[26] Tai Ming Cheung, Fortifying China: The Struggle to Build a Modern Defense Economy

(Cornell University Press, 2009): 219-220 and 222.

[27] ZTE Confirms Backdoor Vulnerability in Android Devices

http://www.infosecisland.com/blogview/21396-ZTE-Confirms-Backdoor-Vulnerability-

in-Android-Devices.html

[28] Kosovo cyber-war intensifies: Chinese hackers targeting U.S. sites, government says

http://edition.cnn.com/TECH/computing/9905/12/cyberwar.idg/

[29] Honker Union

http://en.wikipedia.org/wiki/Honker_Union

[30] NCPH

http://en.wikipedia.org/wiki/Network_Crack_Program_Hacker_%28NCPH%29_Group

[31] LUCKYCAT REDUX Inside an APT Campaign with Multiple Targets in India and Japan

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-

papers/wp_luckycat_redux.pdf

[32] The Evolution of Cyberespionage: A case for an offensive U.S. Counterintelligence Strategy

– Jessica Bourquin, Utica College

https://www.treadstone71.com/index.php/news-info-whitepapers/masters-in-

cybersecurity-intelligence-and-forensics/doc_download/48-the-evolution-of-cyber-

espionage-jessica-bourquin

[33] The Invasion of the Chinese Cyberspies

http://www.time.com/time/magazine/article/0,9171,1098961-1,00.html

[34] Tracking GhostNet – Investigating a Cyberespionage network, Munk Centre for

International Studies.

http://www.f-secure.com/weblog/archives/ghostnet.pdf

[35] The snooping dragon:social-malware surveillance of the Tibetan movement - Shishir

Nagaraja, Ross Anderson, University of Cambridge

http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-746.pdf

[36] Global Energy Cyberattacks : “Night Dragon” - McAfee

http://www.mcafee.com/us/resources/white-papers/wp-global-energy-cyberattacks-

night-dragon.pdf

[37] Protecting your critical assets – Lessons Learned from “Operation Aurora”

http://www.mcafee.com/us/resources/white-papers/wp-protecting-critical-assets.pdf

[38] 2 China Schools Said to Be Tied to Online Attacks

http://www.nytimes.com/2010/02/19/technology/19china.html?_r=1


[39] A new approach to China

http://googleblog.blogspot.com.es/2010/01/new-approach-to-china.html

[40] Google y China

http://en.wikipedia.org/wiki/Google_China

[41] Shadows in the Cloud: Investigating Cyber Espionage 2.0 – Information Warfare Monitor

http://shadows-in-the-cloud.net/

[42] Researchers Uncover RSA Phishing Attack, Hiding in Plain Sight

http://m.wired.com/threatlevel/2011/08/how-rsa-got-hacked/

[43] RSA Agrees to Replace Security Tokens After Admitting Compromise - Wired

http://www.wired.com/threatlevel/2011/06/rsa-replaces-securid-tokens/

[44] China Hacked RSA, U.S. Official Says

http://www.darkreading.com/advanced-threats/167901091/security/attacks-

breaches/232700515/china-hacked-rsa-u-s-official-says.html

[45] Cyber Bytes – Jun 11

http://www.usna.edu/Cyber/documents/news/CyberBytes10JUN11.pdf

[46] Enter the cyber-dragon – Vanity Fair

http://www.secnap.com/pdf/support/whitepapers/enter-the-cyberdragon.pdf

[47] Revealed: Operation Shady RAT - Dmitri Alperovitch, McAfee

http://www.mcafee.com/us/resources/white-papers/wp-operation-shady-rat.pdf

[48] The truth behind Shady RAT

http://www.symantec.com/connect/blogs/truth-behind-shady-rat

[49] Uncovering Operation Shady RAT

http://epoch-archive.com/a1/en/au/nnn/2011/08-

Aug/Edition%20306/Edition%20306_p06.pdf

[50] Armageddon Redux

https://deepsec.net/docs/Slides/DeepSec_2011_Morgan_Marquis-Boire_-

_Armageddon%20Redux_-_The_Changing_Face_of_the_Infocalypse.pdf