Conheça as capacidades dos hackers militares da China e dos EUA
O processo iniciado pelos Estados Unidos contra a China, acusando o país de ter realizado ciberespionagem, trouxe de novo apenas nomes e rostos. No início de 2013, a empresa de segurança Mandiant já havia identificado a Unidade 61398 do Exército Popular de Libertação (o exército chinês) como origem de ataques cibernéticos. Graças aos documentos do Snowden, porém, sabemos que os próprios norte-americanos também realizam ciberespionagem e também conhecemos algumas das técnicas empregadas. O que cada uma dessas unidades militares tem feito?
A Unidade 61398 é acusada, principalmente, de realizar ciberespionagem para transferir propriedade intelectual dos Estados Unidos para empresas chinesas. Por falta de um “Edward Snowden” chinês, pouco se sabe sobre ruas capacidades efetivas. A maior parte do que se sabe vem das conclusões de pesquisas de segurança.
De acordo com o governo dos Estados Unidos, o grupo militar teria comprometido principalmente empresas do setor energético. Eles teriam começado a agir em 2006.
Segundo a Mandiant, que identificou pela primeira vez a Unidade 61398 do exército chinês como a origem de ataques, o grupo que realizou a operação “Aurora” contra o Google, na China, não seria o mesmo. A Unidade 61398 foi identificada por nomes como “APT1”, “Comment Crew” e “Shangai Group”. O ataque sofrido pelo jornal “New York Times” em 2012 também teria sido realizado pela unidade.
Não se sabe se há relação do grupo com o roubo de dados de caças norte-americanos em 2009. No entanto, uma das indústrias atacadas pelos hackers seria a aeroespacial, e sites especializados em aviação e defesa levantaram a suspeita de plágio da China para o desenvolvimento dos aviões J-20 (que seria baseado no F-22) e J-31 (no F-35).
A Mandiant, que produziu o relatório mais completo sobre as capacidades da unidade, afirmou que os militares teriam extraviado “centenas de terabytes” de dados de pelo menos 141 organizações (115 das quais nos Estados Unidos) em 20 indústrias. Em média, a unidade teria permanecido infiltrada em cada rede por 356 dias, com o maior acesso durando quatro anos e dez meses.
E-mails especialmente redigidos para atacar as empresas alvo são o principal método de invasão da Unidade 61398. Uma vez dentro da rede da empresa, ferramentas próprias são usadas para adquirir acesso a novos sistemas e manter a presença nos já infectados, obtendo usuários e senhas dos sistemas. A informação começa a ser então recuperada e enviada para a China. Não há informação específica sobre o uso de brechas de segurança desconhecidas por esse grupo.
Já a unidade de Tailored Access Operations (TAO) dos Estados Unidos teria sido a responsável pela criação do vírus Stuxnet que atacou usinas nucleares no Irã. Falhas de segurança até então desconhecidas foram utilizadas no vírus, que era capaz de se disseminar por drives USB. Nenhum documento de Snowden ligou o Stuxnet ao TAO, mas ele declarou em um e-mail que os Estados Unidos e Israel teriam programado o vírus em conjunto.
Para garantir o acesso a dados, o TAO atua também com sabotagem de equipamentos, interceptando entregas para instalar chips especiais em roteadores de rede e servidores para que, mais tarde, seja possível acessar todos os dados que passam pela infraestrutura de rede. Os hardwares e softwares de espionagem da TAO são chamados de “implantes” e há dezenas de tipos, pois cada tipo de hardware ou software recebe um codinome diferente.
Como autores do Stuxnet, o TAO teria também envolvimento com os vírus Duqu e Flame, considerado um dos códigos maliciosos mais avançados já programados e que era capaz de se disseminar dentro da rede interna pelo Windows Update. Esses dois códigos eram focado no roubo de informações.
Para iniciar ataques, páginas falsas do Facebook e do LinkedIn seriam usadas e sites seriam comprometidos para instalar vírus em seus visitantes. O governo norte-americano nega que seus agentes tenham criado páginas falsas que se passavam por serviços de empresas dos Estados Unidos. Um projeto defendia a criação de um sistema que pudesse gerenciar possivelmente milhões de computadores infectados.
Entre os alvos do TAO estaria a Petrobrás, mas o governo norte-americano nega que tenha sido realizada qualquer espionagem industrial. Todas as missões só envolveriam a segurança nacional.
Na prática, os documentos de Edward Snowden, juntamente com o que se sabe sobre esses códigos, revelam uma capacidade de espionagem poderosa. O uso de brechas de segurança e alterações difíceis de serem detectadas possibilitam a interceptação de uma vasta quantidade de dados.
Porém, como não há um “Edward Snowden” chinês, a falta de informações similares sobre a unidade chinesa deixa no ar a possibilidade de que muitos ataques hoje supostamente realizados por grupos diferentes sejam também organizados pela China. Já os documentos vazados pelo próprio Snowden são antigos e muitos falam de sistemas e projetos cujo desenvolvimento estava apenas começando. Em outras palavras, muitas das capacidades desses dois grupos ainda permanecem em segredo.
Fonte: G1
- Metasploit Framework de cabo a rabo – Parte 6 - 4 de junho de 2018
- Metasploit Framework de cabo a rabo – Parte 5 - 28 de maio de 2018
- CEH – Scanning Networks – Parte 2 - 24 de maio de 2018