A empresa americana de segurança cibernética Mandiant, subsidiária do Google, revelou que hackers informáticos chineses, apoiados por seu governo, usaram uma vulnerabilidade em um conhecido dispositivo de segurança de e-mail, para acessar as redes de diversas organizações públicas e privadas em vários países do mundo, informou a agência de notícias norte-americana Associated Press (AP), em 15 de junho.
“O Estado chinês tem acordos com esses grupos”, afirmou à Diálogo Victor Ruiz, fundador do centro de segurança cibernética SILIKN, no México, em 25 de junho. “Esses grupos têm suas origens em células militares com foco no ambiente cibernético.”
A Mandiant informou que o grupo, que invadiu o Email Security Gateway de Barracuda Networks, “é um agente de espionagem […] em apoio à República Popular da China”, que vem explorando uma vulnerabilidade desde 10 de outubro de 2022.
“Esta é a mais extensa campanha de espionagem cibernética conhecida da China, desde a exploração massiva de Microsoft Exchange, no início de 2021”, disse à AP Charles Carmakal, diretor técnico da Mandiant. Um terço dessas entidades corresponde a agências governamentais, incluindo ministérios de relações exteriores.
Modus operandi
Os hackers informáticos chineses enviaram e-mails para as organizações visadas, anexando arquivos maliciosos para obter acesso aos dados e dispositivos das organizações, detalhou o comunicado. Os e-mails examinados tinham conteúdo genérico tanto no assunto quanto no corpo da mensagem, além de erros gramaticais.
Os alvos reconhecidos incluíam funcionários de governos asiáticos e europeus no sudeste da Ásia, no Oriente Médio e na África. Mas a maioria dos alvos escolhidos era das Américas, como ministérios do governo, escritórios de comércio e institutos de pesquisa acadêmica, disse Mandiant.
Volt Typhoon
A Microsoft disse em maio que a gangue cibernética Volt Typhoon, patrocinada por Pequim, buscava interromper a infraestrutura crítica nos Estados Unidos. O grupo de hackers é operado por unidades de elite de hackers dentro do Exército da China, observou a revista americana The Diplomat, em 1º de junho.
A Volt Typhoon tem como alvo desde 2021 os sistemas de infraestrutura crítica na ilha de Guam, em um ativo militar dos EUA próximo a Taiwan, e nos EUA, nos setores de comunicações, manufatura, serviços públicos, transporte, construção, marítimo, governo, tecnologia da informação e educação, informou a Microsoft.
A empresa também afirmou que o ataque a roteadores de Internet e outros dispositivos foi um meio de desenvolver capacidades cibernéticas para interromper o sistema de comunicações essenciais entre os Estados Unidos e algumas regiões da Ásia, durante crises futuras.
Os ataques cibernéticos chineses são o equivalente não cinético de um teste de armas, um teste inicial para ver como seus alvos respondem, para calibrar planos de ação futuros, detalhou The Diplomat. A China está tentando replicar o manual de estratégias da Rússia contra o Ocidente, acrescentou.
Porta dos fundos
As agências de inteligência e os grupos de segurança cibernética do Ocidente identificaram outras gangues cibernéticas patrocinadas pelo Estado chinês que visam tudo, informou a agência britânica de notícias Reuters.
Um exemplo é o grupo de hackers informáticos chinês BackdoorDiplomacy, que atacou vários ministérios e instituições do governo do Quênia para obter informações sobre a dívida da nação africana com Pequim, informou a Reuters. Quênia é um elo estratégico da iniciativa Cinturão e Rota.
“A China está sempre buscando proteger seus próprios interesses e sabe que essa é a maneira de buscar informações, roubar informações e extorquir países”, declarou Ruiz. “É algo que ela não deixaria de fazer com os países latino-americanos. Se já o faz com outros, poderia atacar-nos.”
BackdoorDiplomacy faz parte do grupo cibernético de Ameaças Persistentes Avançadas (APT) 15, mais conhecido como APT15, ativo desde 2010, que historicamente dirige seus ataques a entidades governamentais e diplomáticas nas Américas, na África e no Oriente Médio, indica a empresa de segurança Palo Alto Networks em um relatório. Os grupos APT geralmente têm como objetivo obter acesso a uma rede sem ser detectados, estabelecer uma porta traseira e roubar dados.
Ameaças avançadas
APT41 e APT27 são os grupos ativos mais antigos e perigosos, capazes de comprometer a segurança de um país por meio de ferramentas de malware incomuns, informa na internet a agência de notícias South Asia’s Leading Multimedia.
Em 2020, o APT 41 invadiu computadores de centenas de empresas e organizações em todo o mundo, incluindo empresas de desenvolvimento de software, fabricantes de hardware informático, provedores de telecomunicações, empresas de redes sociais, universidades e governos, ressaltou o Departamento de Justiça dos EUA.
Ele também roubou benefícios de auxílio para a COVID dos EUA no valor de dezenas de milhões de dólares, entre 2020 e 2022, informou Reuters. O APT 26 se concentra nos setores aeroespaciais, de defesa e de energia, informou Asia’s Leading. Em 2022, o APT 27 ameaçou realizar uma operação cibernética especial contra Taiwan.
“É provável que esses grupos chineses já estejam dentro de várias organizações [públicas e privadas] na América Latina, monitorando e espionando, sem que as organizações percebam. Esses grupos podem passar anos dentro de uma organização, para extrair informações e roubar dados sem serem detectados”, ressaltou Ruiz.
Cultura de segurança cibernética
Para enfrentar esses grupos chineses, “os Estados Unidos deveriam assinar acordos com os países da América Latina, para garantir que a região esteja protegida, especialmente quando há países que têm certos acordos de segurança e defesa com a Rússia e a China”, disse Ruiz.
A colaboração, a comunicação e a cooperação entre países, organizações e empresas devem ser fortalecidas para lidar com os ataques chineses, russos ou de qualquer outro grupo de hackers informáticos. “Os criminosos cibernéticos estão fazendo isso”, disse Ruiz. “Precisamos trabalhar em uma cultura de segurança cibernética muito mais forte”, concluiu.