Um cidadão chinês foi indiciado nos EUA por conduzir uma campanha de spear-phishing “de vários anos” para obter acesso não autorizado a software program de computador e código-fonte criados pela Administração Nacional de Aeronáutica e Espaço (NASA), universidades de pesquisa e empresas privadas.
Music Wu, 39, foi acusado de 14 acusações de fraude eletrônica e 14 acusações de roubo de identidade agravado. Se condenado, ele enfrenta uma sentença máxima de 20 anos de prisão para cada acusação de fraude eletrônica e uma sentença consecutiva de dois anos de prisão por roubo de identidade agravado.
Ele foi contratado como engenheiro na Aviation Business Company of China (AVIC), um conglomerado estatal chinês de aeroespacial e defesa fundado em 2008 e sediado em Pequim.
De acordo com informações listadas no website da AVIC, ela tem “mais de 100 subsidiárias, quase 24 empresas listadas e mais de 400.000 funcionários”. Em novembro de 2020 e junho de 2021, a empresa e algumas de suas subsidiárias foram alvo de sanções dos EUA, impedindo os americanos de investir na empresa.
Dizem que Music realizou uma campanha de spear-phishing que envolvia a criação de contas de e-mail para imitar pesquisadores e engenheiros dos EUA, que eram então utilizadas para obter software program especializado, restrito ou proprietário para engenharia aeroespacial e dinâmica de fluidos computacional.
O software program também pode ser usado para aplicações industriais e militares, incluindo o desenvolvimento de mísseis táticos avançados e design aerodinâmico e avaliação de armas.
O Departamento de Justiça dos EUA (DoJ) alegou que esses e-mails foram enviados a funcionários da NASA, da Força Aérea, Marinha e Exército dos EUA e da Administração Federal de Aviação, bem como a indivíduos empregados em grandes universidades de pesquisa na Geórgia, Michigan, Massachusetts, Pensilvânia, Indiana e Ohio.
As tentativas de engenharia social, que começaram por volta de janeiro de 2017 e continuaram até dezembro de 2021, também tiveram como alvo empresas do setor privado que trabalham na área aeroespacial.
As mensagens fraudulentas supostamente foram enviadas por um colega, associado, amigo ou outras pessoas na comunidade de pesquisa ou engenharia, solicitando que alvos em potencial enviassem ou disponibilizassem código-fonte ou software program ao qual eles tinham acesso. O DoJ não revelou o nome do software program ou o paradeiro atual do réu.
“Mais uma vez, o FBI e nossos parceiros demonstraram que os criminosos cibernéticos ao redor do mundo que buscam roubar as informações mais confidenciais e valiosas de nossas empresas podem e serão expostos e responsabilizados”, disse Keri Farley, agente especial encarregada do FBI Atlanta.
“Como mostra esta acusação, o FBI está comprometido em buscar a prisão e o processo de qualquer pessoa que se envolva em práticas ilegais e enganosas para roubar informações protegidas.”
Coincidindo com a acusação, o DoJ também tornou pública uma acusação separada contra o cidadão chinês Jia Wei, membro do Exército de Libertação Standard (ELP), por se infiltrar em uma empresa de comunicações não identificada sediada nos EUA em março de 2017 para roubar informações proprietárias relacionadas a dispositivos de comunicação civis e militares, desenvolvimento de produtos e planos de testes.
“Durante seu acesso não autorizado, Wei e seus co-conspiradores tentaram instalar software program malicioso projetado para fornecer acesso não autorizado persistente à rede da empresa dos EUA”, disse o DoJ. “O acesso não autorizado de Wei continuou até aproximadamente o remaining de maio de 2017.”
O desenvolvimento ocorreu semanas após a Agência Nacional de Crimes do Reino Unido (NCA) anunciar que três homens, Callum Picari, 22; Vijayasidhurshan Vijayanathan, 21; e Aza Siddeeque, 19, se declararam culpados de administrar um website que permitia que criminosos cibernéticos contornassem as verificações antifraude dos bancos e assumissem o controle de contas bancárias.
O serviço, chamado OTP.company, permitia que assinantes mensais usassem engenharia social para que titulares de contas bancárias divulgassem senhas de uso único genuínas ou revelassem suas informações pessoais.
Dizem que o serviço subterrâneo teve como alvo mais de 12.500 membros do público entre setembro de 2019 e março de 2021, quando foi tirado do ar após o trio ter sido preso. Atualmente, não se sabe quanta receita ilegal a operação gerou durante sua existência.
“Um pacote básico custando £ 30 por semana permitiu que a autenticação multifator fosse ignorada em plataformas como HSBC, Monzo e Lloyds para que criminosos pudessem concluir transações fraudulentas on-line”, disse a NCA. “Um plano elite custava £ 380 por semana e concedia acesso a websites de verificação Visa e Mastercard.”
