Num novo relatório partilhado exclusivamente com a MIT Technology Review americana, investigadores expõem uma campanha de espionagem cibernética com “um orçamento apertado” que prova que a simplicidade ainda pode ser eficaz.
Um grupo de hackers ligado à China passou os últimos três anos visando organizações de direitos humanos, think thanks, agências de notícias e agências de vários governos estrangeiros, de acordo com um novo relatório revelador da empresa de segurança cibernética Recorded Future.
O relatório, partilhado exclusivamente com a MIT Technology Review americana, oferece novas pistas sobre como empreiteiros privados e empresas de fachada que operam com relativamente poucos recursos podem executar operações hackers de longa data e ter sucesso contra alvos valiosos com táticas simples, mas eficazes. Ao usar hackers do setor privado, dizem os especialistas, o governo chinês ganha a capacidade de atingir mais alvos de espionagem e libera recursos dentro das agências militares e de inteligência para realizar ataques mais avançados. A operação também sugere uma falha generalizada e persistente para implementar até defesas básicas de segurança cibernética entre instituições vulneráveis.
Os hackers, conhecidos como RedAlpha, têm como alvo organizações como a Anistia Internacional, a Federação Internacional de Direitos Humanos, a Radio Free Asia, o Instituto Mercator para Estudos da China e outros think thanks e grupos governamentais e humanitários em todo o mundo. O impacto dos hackers ainda não está claro, mas a julgar pela duração da campanha, os analistas supõem que a espionagem digital tenha, em termos gerais, tido sucesso.
Os investigadores da Recorded Future têm “alta” confiança de que o RedAlpha é patrocinado pelo governo chinês, pois todos os alvos “se enquadram nos[seus] interesses estratégicos”, afirma Jon Condra, diretor da equipa de ameaças estratégicas da organização.
Talvez sem surpresa, o grupo de hackers nos últimos anos se interessou particularmente por organizações em Taiwan, incluindo o Partido Democrático Progressista e o Instituto Americano em Taiwan, que é a embaixada dos Estados Unidos na pequena democracia insular. O governo de Pequim reivindica Taiwan como parte do território chinês.
O RedAlpha está ativo desde pelo menos 2015, embora não tenha sido identificado publicamente até 2018, num relatório do Citizen Lab. Tem consistentemente visado grupos que o Partido Comunista Chinês chama de “cinco venenos”: tibetanos, uigures, taiwaneses, ativistas da democracia e o Falun Gong. Todos incluem dissidentes domésticos que, por várias razões, criticam e desafiam o controlo do Partido Comunista sobre a China. Também partilham visibilidade e apoio internacional.
O trabalho do Citizen Lab revelou pela primeira vez a campanha do RedAlpha contra a comunidade tibetana, agências governamentais e um grupo de media. Nos anos seguintes, o Recorded Future identificou campanhas cibernéticas adicionais contra os tibetanos e, no ano passado, um relatório da PricewaterhouseCoopers (PwC) indicou que o grupo está a expandir o seu foco para incluir indivíduos, grupos étnicos vulneráveis, organizações da sociedade civil e um número crescente de agências governamentais.
O que é particularmente interessante sobre essas novas descobertas é que o RedAlpha ainda está a operar com as mesmas táticas simples e baratas que usava anos atrás. Na verdade, essa última lista de espionagem foi ligada a campanhas anteriores porque o grupo reutilizou muitos dos mesmos domínios, endereços IP, táticas, malware e até mesmo informações de registo de domínio que foram identificadas publicamente por especialistas em segurança cibernética há anos.
“Se não estiver quebrado, não mude”, diz Condra. As táticas do RedAlpha são tão simples e diretas que Condra descreve o trabalho de espionagem realizado provavelmente conduzido por um “um orçamento apertado”. Mas neste caso, pelo menos, simples pode ser bastante eficaz. “Este provavelmente não é o grupo com mais recursos”, refere. “Podem querer cortar custos e economizar algum dinheiro ao registar domínios ou adquirir hospedagem. Se há campanhas que fazem com táticas que parecem funcionar independentemente da exposição pública, não há razão para que mudem. Funciona e é económico”.
Mais especificamente, o RedAlpha criou e transformou numa arma centenas de domínios falsos e maliciosos disfarçados de alvos em um esforço para roubar nomes de utilizador e senhas. “Estou disposto a apostar que esta é uma tática bastante eficaz para eles”, diz Condra. Os investigadores dizem que isso provavelmente se deve à má adoção de medidas de segurança básicas pelas organizações na sua mira, o que cria uma barreira baixa à entrada dos hackers.
“Existem muitas organizações que não implementaram a autenticação multifator”, acrescenta Condra. “Isso é ainda mais verdadeiro do lado do governo em países que se movem mais devagar, têm orçamentos mais apertados e têm mais resistência institucional à mudança. Não veríamos o RedAlpha a fazer isso ao longo de três anos se não estivessem obtendo algo dos seus alvos”. (A autenticação multifator é uma tecnologia de segurança cibernética que impede que hackers assumam uma conta, mesmo que tenham roubado uma senha; é amplamente recomendada e relativamente fácil de implementar, mas muitas vezes é deixada de lado por outras prioridades.)
À medida que as tensões continuam a aumentar entre os Estados Unidos e a China por causa de Taiwan, dizem os analistas, os hackers provavelmente realizam espionagem com o objetivo de produzir inteligência política. O grupo também representou agências governamentais da Índia, Brasil, Vietnam e Portugal.
A China é amplamente considerada uma das potências cibernéticas mais ativas e altamente capazes do mundo, ao lado dos Estados Unidos. Embora tenha hackers nas suas agências militares e de inteligência, a China também teria usado contratados privados como o RedAlpha para realizar operações de espionagem cibernética, de acordo com várias acusações americanas.
Pistas significativas apontam para as conexões do RedAlpha com importantes grupos estaduais. Detalhes partilhados sobre o registo de domínios maliciosos conectam o grupo a um indivíduo que uma vez disse ser membro do Exército Verde, o primeiro grupo de hackers clandestinos da China, que remonta a 1997. O Exército Verde, na verdade, é um dos grupos mais importantes na história do hacking chinês; uma aliança de vários milhares de hackers nacionalistas chineses que visavam sites estrangeiros, a organização deu origem a alguns dos hackers mais proeminentes do país, e partes da facção evoluíram para grandes empresas de segurança cibernética do setor privado ativas ainda hoje.
Além disso, um endereço de e-mail usado para registrar vários domínios maliciosos do RedAlpha em várias campanhas de espionagem foi conectado a uma empresa chinesa que trabalha com várias empresas estatais, bem como a Universidade de Ciência e Tecnologia do Exército de Libertação Popular, uma instituição estatal de elite focada na pesquisa de capacidades militares chinesas de alta tecnologia. Agora conhecida como Jiangsu Cimer Information Security Technology Co., a empresa fornece produtos de segurança cibernética defensivos e ofensivos. Jiangsu Cimer não respondeu a um pedido de comentário.
“Essa estratégia permite [ao governo chinês] terceirizar algumas das tarefas mais simples, as ações mais fáceis que ainda precisam ser feitas”, dizem Condra. “Mas isso não precisa necessariamente ser feito pelos operadores mais profissionais da China. Não precisam queimar as ferramentas mais valiosas e avançadas em campanhas de baixo nível”.
Quando procurado para comentar, um porta-voz do governo chinês disse que o país se opõe a ataques cibernéticos e “nunca os encorajará, apoiará ou será conivente”.
MIT Technology Review