EUA acusam China de ciberataques em várias frentes

Há duas investigações diferentes nesta história: na primeira, a protagonista é a equipa Cybereason Nocturnus, uma empresa de cibersegurança isaraelo-americana que identificou, em 2018, um ataque dirigido a providers de telecomunicações. A outra investigação é de cariz jornalístico, e a Reuters divulgou oito empresas vítimas do “Cloud Hopper”, quando até aqui só se conheciam duas.

A ameaça APT10 é uma das primeiras e mais óbvias ligações à China. Em ambos os casos, foi identificada esta ferramenta de hack, que é conhecida por ser uma estratégia do governo chinês. Depois, razões económicas são apontadas pelos EUA como a razão para Pequim ser alvo de suspeita.

Dez empresas com metadados roubados

São dez vítimas identificadas, garante a Cybereason, mas não puderam ser nomeadas no estudo da empresa. A culpa está do lado do estado chinês, garantem, e foram roubados metadados relacionados com utilizadores específicos das dez empresas de serviços de telecomunicações afetadas.

A “Operation Softcell”, nome dado ao ataque, foi sofisticado ao ponto de, além da sua escala já o indicar, se poder ligar diretamente a uma iniciativa estatal. Ao mesmo tempo, os indivíduos afetados – militares e dissidentes – têm ligações à China. Foram afetadas pessoas na Europa, Médio Oriente, África e Ásia. Não foram identificadas vítimas nos Estados Unidos.

A tentativa foi de roubar todos os dados ativos nos diretórios das empresas em questão, compromentendo usernames, passwords, recibos e faturas, telefonemas, credenciais, servidores de email, geolocalização dos utilizadores, entre outros dados, sobretudo a partir de telemóveis.

Quando os ataques foram identificados pelos defenders, os hackers paravam imediatamente o processo, mas retomavam-no depois. Estima-se que possam ter sido afetadas centenas de milhões de pessoas.

A ligação à China não se fica apenas pela conhecida ameaça APT10, que poderia ser utilizada para desviar atenções do real culpado, mas os servidores, domínios e IPs tinham também endereços chineses, do Hong Kong ou Taiwan.

Dentro da cloud, e sem boas intenções

Já se tinham identificado duas empresas vítimas do “Cloud Hopper”, também ligado à ameaça APT10 e à China - e igualmente parecendo ‘patrocinado’ por Pequim – mas a Reuters divulgou agora os oito nomes das empresas que se confirma serem vítimas de ataques que começaram, provavelmente, em 2014.

A HPE e a IBM (vítimas já conhecidas), a Fujitsu, a Tata Consultancy Services, a NTT Data, a Dimension Data, a Computer Sciences Corporation e a DXC Technology foram infiltradas através dos serviços cloud.

Os ataques deverão ter sido realizados com o objetivo de reunir segredos corporativos e de estado, num esforço de beneficiar economicamente Pequim. A teoria é apoiada por Washington.

Através da infiltração nos sistemas destas oito tecnológicas, os hackers conseguiram chegar também ao sistema de reservas de viagens Sabre, à Ericsson, e ao construtor de navios da marinha norte-americana, Huntington Ingalls Industries, sendo impossível quantificar o número de pessoas afetadas.

Sabre, IBM e Huntington Ingalls dizem que não foram roubados dados sensíveis das suas organizações, as restantes empresas não se pronunciaram sobre a extensão dos ataques.

O governo chinês nega qualquer ligação aos ataques divulgados.