Hackers chineses usam e-mails de phishing para empresas de engenharia, transporte e defesa

Organizações de alto nível nas indústrias de engenharia, transporte e defesa, particularmente com ligações com o setor marítimo, estão sendo alvo de uma operação chinesa de hackers, de acordo com pesquisadores de empresa de segurança.

De acordo com o portal ZDnet essa campanha de espionagem cibernética foi detalhada pela empresa de segurança FireEye, que rotulou o grupo de Ameaça Persistente Avançada (Advanced Persistent Threat – APT40).

O grupo está ativo desde pelo menos janeiro de 2013. Os principais alvos parecem ser empresas dos EUA em engenharia, transporte e defesa – embora tenha almejado outras organizações em todo o mundo. O grupo também tem como alvo departamentos de pesquisa da universidade focados em questões marítimas, algo que os pesquisadores acreditam estar ligado ao desejo da China de construir sua marinha.

O grupo também tem como alvo empresas que operam no Mar do Sul da China – uma região estrategicamente importante e foco de disputas entre a China e outros estados.

A forma como o grupo seleciona seus alvos e outros fatores levou a FireEye a declarar com “alta confiança” que a atividade do APT40 é um grupo de espionagem cibernética apoiado pelo Estado. As horas do dia em que o grupo está ativo também sugerem que ele é baseado perto de Pequim e o grupo usou malware que foi observado em outras operações chinesas, indicando algum nível de colaboração.

Os pesquisadores também observam que o direcionamento de indústrias marítimas, de engenharia e de transporte se associa à “Iniciativa Faixa e Estrada” da China, que visa desenvolver a infraestrutura chinesa em países do mundo todo.

Países como o Camboja, Bélgica, Alemanha, Hong Kong, Filipinas, Malásia, Noruega, Arábia Saudita, Suíça, Estados Unidos e Reino Unido foram alvo de ataques, alertam os pesquisadores.

A atividade do periscópio já havia sido suspeita de estar ligada à China , mas agora a FireEye construiu um caso que eles acreditam quase certamente liga a operação ao estado chinês.

O APT40 é descrito como um “grupo de espionagem cibernética moderadamente sofisticado” que combina acesso a recursos de desenvolvimento “significativos” com a capacidade de alavancar ferramentas disponíveis publicamente que se tornaram um grampo para alguns grupos de hackers , pois podem facilitar a ocultação de atividades de hackers.

Como muitas campanhas de espionagem, grande parte da atividade do APT40 começa tentando enganar alvos com e-mails de phishing , antes de implantar malware, como o trojan Gh0st RAT, para manter a persistência em uma rede comprometida.

O grupo também usa o comprometimento de sites e servidores da Web como um meio de ataque e é capaz de aproveitar o que é descrito como uma “enorme” biblioteca de ferramentas como parte de campanhas, incluindo explorações aproveitando as vulnerabilidades conhecidas do software CVE.

Uma vez dentro de uma rede, o APT40 usa ferramentas de coleta de credenciais para obter nomes de usuário e senhas, permitindo expandir seu alcance pela rede e mover-se lateralmente por um ambiente à medida que se move em direção ao objetivo final de roubar dados.

Apesar do principal objetivo da campanha ser a espionagem, os pesquisadores observam que o APT40 permanece ativo, apesar da crescente atenção dada a suas atividades e que o grupo continuará assim por algum tempo.

O relatório sobre o APT40 conclui com um alerta: o grupo buscará estender sua atividade em setores adicionais que são considerados importantes para a iniciativa Belt and Road, então é improvável que seja o último a ser ouvido.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.