Empresa descobre operação de ciberespionagem ativa há 10 anos

A empresa de segurança FireEye divulgou no domingo (12) um relatório que detalha as operações de um grupo de ciberespionagem que atua principalmente no sudeste da Ásia desde 2005. O grupo foi identificado como "APT30" e, de acordo com a FireEye, os alvos e o modo de operação indicam que a ação é provavelmente patrocinada pelo governo da China.

Os ciberespiões usam duas ferramentas, chamadas de "Backspace" e "Neteagle". As pragas digitais chegam aos sistemas das vítimas por meio de mensagens de e-mail forjadas com documentações falsas que interessam às vítimas. A FireEye teve acesso a um dos softwares de controle utilizados para gerenciar a operação "Backspace".

Os programas espiões se conectam a servidores de controle gerenciados por um painel administrativo visual. As ferramentas permitem a classificação dos alvos com termos como "importante" e "muito importante", e dão ao operador a possibilidade filtrar a lista dos sistemas infectados que são controlados pela ferramenta.

Essas capacidades indicam que os programas foram desenvolvidos para lidar com um grande número de sistemas infectados.

Todo o painel de controle está em chinês. Fotos publicadas pela FireEye mostram inclusive informações de contato em números do QQ, um comunicador popular na China.

As ferramentas tiveram poucas modificações desde 2005. Segundo a FireEye, a operação do "APT30" mostra como é possível manter sistemas de espionagem funcionando a longo prazo com poucas modificações de método e técnica.

Os programas também têm a capacidade de executar diversos comandos. Eles podem ler, apagar ou criar arquivos no sistema infectado, além de se espalhar por pendrives e copiar arquivos de unidades USB para acessar dados que não ficam disponíveis na rede.

Os códigos foram desenvolvidos em um ambiente profissional e controlado, segundo a investigação da FireEye. O "APT30" provavelmente tem uma equipe própria para desenvolver esses programas ou então acesso a um grupo de desenvolvimento que trabalha em pragas digitais para uso exclusivo da operação de espionagem.

Entre os alvos de espionagem confirmados estão instituições da Índia, Coreia do Sul, Malásia, Vietnã, Tailândia, Arábia Saudita e Estados Unidos. A FireEye acredita que outros países da região, como Japão, Singapura, Indonésia e Nepal, também podem ter sido vítimas de ataques, embora isso não tenha sido confirmado.

Além de organizações comerciais e políticas, o "APT30" também monitora jornalistas e empresas de comunicação que frequentemente cobrem temas que envolvem a China. Para a FireEye, os alvos estão "alinhados" com os interesses do governo chinês.

Fonte: G1