China acusada de campanha de ciberespionagem na Ásia que já dura mais de uma década
OGlobo -
Segundo o “Financial Times”, a empresa FireEye disse que o grupo se destacou pela sua capacidade de evitar a detecção por tanto tempo e por sua capacidade de lançar ataques tecnicamente sofisticados em redes seguras “air gap”, ou seja, que estão fisicamente isoladas de redes inseguras como a internet pública ou redes locais sem segurança.
Os detalhes dos métodos de ataque foram publicados em um
relatório na segunda-feira, principalmente com base na análise de um programa de malware usado pelo grupo de hackers para roubar informações desde 2004, de acordo com a FireEye.
O grupo de hackers, ao qual a FireEye se refere como APT30, é apenas um dos vários grupos que a empresa acompanha e um dos 20 que ela diz que provavelmente são controlados pelo Estado chinês.
Bryce Boland, diretor de tecnologia da FireEye, disse estar certo do envolvimento do Estado chinês com base na “vitimologia” dos hackers. Boland disse que o grupo havia roubado informações “sobre os jornalistas, dissidentes e os desdobramentos políticos em relação à China, tendo como alvo organizações governamentais e militares, e setores econômicos de interesse para a economia da China”.
Por razões de segurança, a FireEye se recusou a nomear os alvos ou vítimas dos ataques. O malware usado pelo grupo trabalha infectando computadores-alvo através de ataques de “spear phishing”, em que um e-mail é enviado a um alvo a partir de uma fonte supostamente confiável, no ponto de vista da vítima.
Com base em imagens do malware fornecidas pela FireEye, o programa é chamado Wang Ying Luo Shen ou “Águia Misteriosa” em chinês, e escrito para ser operado por usuários falantes de língua chinesa. As capturas de tela também revelaram o que pareciam ser detalhes de contato para o desenvolvedor do software na forma de um endereço no QQ, um aplicativo de mensagens popular na China.
No entanto, depois de ter sido contactado pelo “FT”, o usuário do QQ em questão negou ter qualquer coisa a ver com o malware e insistiu que os detalhes de contato devem ter sido roubados. O usuário do QQ se recusou a responder a mais perguntas e imediatamente desligou a comunicação.
O malware inclui ferramentas sofisticadas para se infiltrar em redes “air gap”. Isto é conseguido através da infecção de unidades USB que podem transferir o vírus a partir de uma máquina infectada para um computador dentro da área isolada e protegida do “air gap”.
— Isso mostra a sofisticação em alvejar redes mais sensíveis do governo e, particularmente, redes militares e outras não-conectadas à internet — disse Boland. — A capacidade de atacar redes “air gap” não é única, mas certamente é incomum.
Boland disse que o único caso conhecido de um ataque bem sucedido a uma rede “air gap” foi um hack de 2007-08 dirigido contra o departamento de defesa dos Estados Unidos, e que se originou na Rússia.
Ele disse que a FireEye não tinha qualquer prova de que o APT30 tinha atacado com sucesso uma rede “air gap”.
— Mas considerando que este grupo atua há quase uma década e não foi detectado, isso indica que eles tiveram algum nível de sucesso — complementou. — Fatos curiosos são que o APT30 não mudou seus malwares desde 2004 e que o grupo parece trabalhar em turnos. É uma organização permanente e quase burocrática.
