O Departamento de Justiça dos EUA (DoJ) divulgou na segunda-feira acusações contra sete cidadãos chineses por seu envolvimento em um grupo de hackers que teve como alvo críticos, jornalistas, empresas e autoridades políticas dos EUA e estrangeiros por cerca de 14 anos.
Os réus incluem Ni Gaobin, Weng Ming, Cheng Feng, Peng Yaowen, Solar Xiaohui, Xiong Wang e Zhao Guangzong.
Os suspeitos de espiões cibernéticos foram acusados de conspiração para cometer invasões de computador e conspiração para cometer fraude eletrônica em conexão com um grupo de ameaças patrocinado pelo Estado rastreado como APT31, que também é conhecido como Altaire, Bronze Vinewood, Judgment Panda e Violet Storm (anteriormente Zircônio). O coletivo de hackers está ativo pelo menos desde 2010.
Especificamente, as suas responsabilidades envolvem testar e explorar o malware utilizado para conduzir as intrusões, gerir a infra-estrutura de ataque e conduzir a vigilância de entidades específicas dos EUA, observaram os procuradores federais, acrescentando que as campanhas são concebidas para promover a espionagem económica da China e os objectivos de inteligência estrangeira.
Tanto Gaobin quanto Guangzong estão supostamente ligados à Wuhan Xiaoruizhi Science and Know-how Firm, Restricted (Wuhan XRZ), uma empresa de fachada que se acredita ter conduzido várias operações cibernéticas maliciosas para o Ministério da Segurança do Estado (MSS).
A Intrusion Fact, num relatório publicado em maio de 2023, caracterizou a Wuhan XRZ como uma “empresa de aparência incompleta em Wuhan à procura de mineiros de vulnerabilidade e especialistas em línguas estrangeiras”.
Além de anunciar uma recompensa de até US$ 10 milhões por informações que possam levar à identificação ou ao paradeiro de pessoas associadas ao APT31, o Reino Unido e os EUA também impuseram sanções contra Gaobin, Guangzong e Wuhan XRZ por colocarem em risco a segurança nacional e por visando parlamentares de todo o mundo.
“Essas alegações levantam a cortina sobre a vasta operação ilegal de hackers da China que teve como alvo dados confidenciais de funcionários eleitos e do governo dos EUA, jornalistas e acadêmicos; informações valiosas de empresas americanas; e dissidentes políticos na América e no exterior”, afirmou o procurador dos EUA, Breon Peace.
“Seu esquema sinistro vitimou milhares de pessoas e entidades em todo o mundo e durou mais de uma década.”
A ampla operação de hackers envolveu os réus e outros membros do APT31 enviando mais de 10.000 e-mails para alvos de interesse que vinham com hyperlinks de rastreamento ocultos que exfiltravam a localização das vítimas, endereços de protocolo de web (IP), esquemas de rede e os dispositivos usados para acessar as contas de e-mail simplesmente ao abrir as mensagens.
Posteriormente, essas informações permitiram que os atores da ameaça conduzissem ataques mais direcionados e adaptados a indivíduos específicos, inclusive comprometendo os roteadores domésticos e outros dispositivos eletrônicos dos destinatários.
Os atores da ameaça também teriam aproveitado explorações de dia zero para manter o acesso persistente às redes de computadores das vítimas, resultando no roubo confirmado e potencial de registros de chamadas telefônicas, contas de armazenamento em nuvem, e-mails pessoais, planos econômicos, propriedade intelectual e segredos comerciais. associados a empresas norte-americanas.
Descobriu-se ainda que outras campanhas de spear-phishing orquestradas pelo APT31 visavam funcionários do governo dos EUA que trabalham na Casa Branca, nos Departamentos de Justiça, Comércio, Tesouro e Estado, e senadores, deputados e pessoal de campanha eleitoral dos EUA de ambos os partidos políticos.
Os ataques foram facilitados por meio de malwares customizados como RAWDOOR, Trochilus, EvilOSX, DropDoor/DropCat e outros que estabeleceram conexões seguras com servidores controlados por adversários para receber e executar comandos nas máquinas das vítimas. Também foi utilizada uma versão crackeada do Cobalt Strike Beacon para conduzir atividades pós-exploração.
Alguns dos setores proeminentes visados pelo grupo são defesa, tecnologia da informação, telecomunicações, manufatura e comércio, finanças, consultoria e indústrias jurídicas e de pesquisa. O APT31 também destacou dissidentes em todo o mundo e outras pessoas que pareciam apoiá-los.
“APT31 é um conjunto de oficiais de inteligência patrocinados pelo Estado chinês, hackers contratados e pessoal de apoio que conduzem operações cibernéticas maliciosas em nome do Departamento de Segurança do Estado de Hubei (HSSD)”, disse o Tesouro.
“Em 2010, o HSSD estabeleceu a Wuhan XRZ como uma empresa de fachada para realizar operações cibernéticas. Esta actividade cibernética maliciosa resultou na vigilância de políticos dos EUA e estrangeiros, especialistas em política externa, académicos, jornalistas e activistas pró-democracia, bem como pessoas e empresas que operam em áreas de importância nacional.”
“A espionagem cibernética patrocinada pelo Estado chinês não é uma ameaça nova e a acusação não selada do DoJ mostra hoje toda a estratégia das suas operações cibernéticas, a fim de fazer avançar a agenda da República Well-liked da China (RPC). Embora esta não seja uma ameaça nova, o alcance da espionagem e das táticas utilizadas são preocupantes”, disse Alex Rose, diretor de parcerias governamentais da Secureworks Counter Risk Unit.
“Os chineses desenvolveram o seu MO típico nos últimos anos para evitar a detecção e tornar mais difícil atribuir-lhes ataques cibernéticos específicos. Isto faz parte de um esforço estratégico mais amplo que a China é capaz de executar. As competências e os recursos e as táticas à disposição da RPC fazem delas uma ameaça elevada e persistente para governos, empresas e organizações em todo o mundo.”
As acusações surgem depois de o governo do Reino Unido apontar o dedo ao APT31 por “campanhas cibernéticas maliciosas” dirigidas à Comissão Eleitoral e aos políticos do país. A violação da Comissão Eleitoral levou ao acesso não autorizado a dados eleitorais pertencentes a 40 milhões de pessoas.
O incidente foi divulgado pelo regulador em agosto de 2023, embora haja evidências de que os atores da ameaça acederam aos sistemas dois anos antes.
A China, no entanto, rejeitou as acusações, descrevendo-as como “completamente fabricadas” e equivalentes a “calúnias maliciosas”. Um porta-voz da embaixada chinesa em Washington DC disse à BBC Information que os países “fizeram acusações infundadas”.
“O rastreio da origem dos ataques cibernéticos é altamente complexo e sensível. Ao investigar e determinar a natureza dos casos cibernéticos, é necessário ter provas adequadas e objetivas, em vez de difamar outros países quando os factos não existem, e muito menos politizar as questões de segurança cibernética.” O porta-voz do Ministério das Relações Exteriores, Lin Jian, disse.
“Esperamos que as partes relevantes parem de espalhar a desinformação, adotem uma atitude responsável e salvaguardem conjuntamente a paz e a segurança no ciberespaço. A China opõe-se a sanções ilegais e unilaterais e salvaguardará firmemente os seus direitos e interesses legítimos.”
