Pelo menos oito entidades governamentais e militares no Mar da China Meridional foram comprometidas nos últimos anos por um grupo de hackers supostamente alinhado com os interesses chineses, de acordo com um novo relatório da Bitdefender.
Nos últimos cinco anos, os hackers conseguiram comprometer e manter acesso contínuo aos sistemas de diversos governos, conforme relataram os investigadores da Bitdefender. O relatório não especifica quais países foram afetados ou se estes estavam cientes dos incidentes antes da investigação da empresa.
A atividade foi atribuída a um gropo hacker até então desconhecido, denominado "Unfading Sea Haze". Os investigadores observaram que os alvos e a natureza dos ataques sugerem um alinhamento com os interesses chineses, sendo o principal objetivo da campanha a espionagem.
O Mar da China Meridional é uma região altamente disputada, onde a China tem feito reivindicações territoriais contra países como Vietnã, Filipinas, Malásia, Indonésia e Taiwan. A escolha de alvos pelos hackers, relacionados à área disputada, aponta para Pequim, reforçada pelo uso de várias variantes do Gh0st RAT – uma ferramenta popular entre hackers chineses e amplamente utilizada em campanhas de espionagem pelo governo chinês.
A Bitdefender encontrou dificuldades para determinar como os hackers inicialmente acessaram alguns sistemas, devido à antiguidade dos ataques, mas confirmou pelo menos um método: e-mails de spearphishing. Esses e-mails, alguns enviados recentemente em maio de 2023, continham documentos maliciosos que instalavam um backdoor nos sistemas das vítimas, permitindo o retorno dos hackers sempre que desejassem. Uma vez dentro, o grupo utilizou diversas ferramentas para expandir seu acesso às redes e frequentemente assumiu o controle de contas de administrador, obtendo acesso adicional.
Além disso, os hackers implantaram vários tipos de malware para evitar detecção e coletar dados, como senhas de navegadores. A pesquisa da Bitdefender contribui para um corpo crescente de conhecimento sobre a extensa campanha de hacking da China, que já dura quase uma década, contra alvos no Sudeste Asiático e no Pacífico.
Outro relatório, publicado na quarta-feira pela empresa de segurança cibernética Mandiant, pertencente ao Google, destacou o uso de proxies roubados e alugados pela China, como roteadores de escritórios domésticos, em todo o mundo. De acordo com os investigadores da Mandiant, essas redes são um componente crucial do trabalho do Volt Typhoon – uma campanha de hackers chineses que visa infraestruturas críticas utilizadas pelos militares dos EUA.
A pesquisa da Mandiant destacou que o uso de sistemas comprometidos, como roteadores de pequenos escritórios e residências, localizados próximos a vítimas potenciais, “traz uma nova dimensão a esse problema, pois os proprietários desses equipamentos podem se tornar facilitadores involuntários de espionagem séria”.
Os pesquisadores explicaram que isso faz parte de um esforço maior dos chineses para expandir seu exército de proxies conhecidos como “redes ORB” – redes de caixas de retransmissão operacionais – para operações de espionagem. As redes ORB, semelhantes às botnets, são compostas por servidores virtuais privados (VPS) e dispositivos comprometidos da Internet das Coisas (IoT), incluindo dispositivos inteligentes e roteadores que muitas vezes estão no fim de sua vida útil ou não são mais suportados pelos fabricantes.
Michael Raggi, analista principal da Mandiant e autor do relatório, afirmou que as redes ORB são “uma das principais inovações na espionagem cibernética chinesa, desafiando os defensores”. Ele comparou essas redes a “um labirinto que se reconfigura continuamente, com a entrada e a saída desaparecendo do labirinto a cada 60-90 dias. Para atingir alguém, esses ofensores podem utilizar um roteador doméstico na mesma rua. Não é incomum que o roteador doméstico de uma pessoa totalmente inconsciente esteja envolvido em um ato de espionagem”, explicou.
John Hultquist, analista-chefe da Mandiant, acrescentou que a espionagem cibernética chinesa “já foi barulhenta e facilmente rastreável”. Ele concluiu afirmando: “Este é um novo tipo de adversário”.
Via - TR
Comments