0
0
Os grupos de ameaças cibernéticas há muito estabelecidos da China vêm construindo um enorme arsenal de recursos, compreendendo ferramentas disponíveis ao público e personalizadas, e diversificando seu repertório em meio à pandemia coronavírus.
Especialistas em inteligência de ameaças questionados pelo Daily Swig disseram que os atacantes patrocinados pelo Estado chinês estão na vanguarda do desenvolvimento de novas ou novas técnicas de hacking.
Por exemplo, os ataques da cadeia de suprimentos têm sido há muito um método de compromisso por grupos de ameaças persistentes avançadas (APT) ligados à China em diferentes alvos, antes dos agora infames ataques solarwinds supostamente puxados por atores de ameaça russos no ano passado.
A mais recente avaliação anual de ameaças (PDF) da comunidade de inteligência dos EUA, apresentada ao Congresso esta semana, adverte que “a China apresenta uma ameaça de espionagem cibernética prolífica e eficaz, possui capacidades substanciais de ataque cibernético e apresenta uma ameaça crescente de influência”.
“As operações de espionagem cibernética da China incluíram empresas de telecomunicações comprometedoras, provedores de serviços gerenciados e software amplamente usado e outros alvos potencialmente ricos em oportunidades de acompanhamento para operações de coleta de informações, ataques ou influência”, alertam as agências de inteligência.
Que tipo de organizações estão sendo alvo?
Dizem que os grupos de ameaças apoiados pelo governochinês estão entre alguns dos mais prolíficos e bem-aproveitados do mundo.
As operações de espionagem cibernética do país historicamente tinham a reputação de “preferir esmagamento e captura em vez de sofisticação”, mas isso mudou nos últimos anos, de acordo com Marc Burnard, pesquisador sênior de segurança da informação da Secureworks.
Paul Prudhomme, chefe da assessoria de inteligência de ameaças da IntSights, concordou que a China havia se tornado um adversário cibernético de alto nível para empresas e governos ocidentais.
“Os grupos chineses de espionagem cibernética estão entre os mais sofisticados do mundo, mas não são tão sofisticados quanto seus homólogos russos”, disse Prudhomme ao The Daily Swig.
“Recursos avançados de ataques de espionagem cibernética chineses incluíram a exploração de vulnerabilidades de zero-day, a execução da cadeia de suprimentos e ataques de terceiros, e o uso de malware proprietário ou personalizado e outras ferramentas.”
“Os ataques cibernéticos chineses, no entanto, muitas vezes tiveram fraquezas em sua segurança operacional que permitiram aos pesquisadores de segurança atribuí-los aos atores chineses”, acrescentou Prudhomme.
Morgan Wright, conselheiro-chefe de segurança do SentinelOne, e ex-conselheiro especial do Departamento de Estado dos EUA, disse ao Daily Swig que a China é muito mais deliberada do que a Rússia na execução de ataques cibernéticos.
“A Rússia passou de mais secreta para mais aberta nos últimos anos”, explicou Wright. “A China, por outro lado, leva tempo para avaliar o progresso, identificar tarefas de acompanhamento e até mesmo desenvolver módulos específicos dependendo do tipo de máquina que está sendo atacada.”
Pequim vai além das medidas técnicas, por exemplo, usando redes sociais e outros canais OSINT para reconhecimento em estágio inicial.
“Os serviços de inteligência [chineses] usam rotineiramente o LinkedIn e conferências como meios para estabelecer relacionamentos que mais tarde são explorados em ataques de phishing usados para ganhar uma base inicial dentro de entidades alvo”, disse Wright.
Por que a China está envolvida em espionagem cibernética?
Atores de ameaças associados à China normalmente realizam operações de espionagem cibernética para coletar informações em apoio a objetivos econômicos mais amplos, como a Iniciativa Belt and Road e o programa “Made in China 2025”. Parte disso envolve espionar governos estrangeiros.
Eles também buscam inteligência competitiva sobre os rivais de negócios estrangeiros de empresas chinesas em muitas indústrias diferentes, de acordo com especialistas em inteligência de ameaças questionados pelo Daily Swig.
Outros desenvolvimentos geopolíticos também influenciam as operações de espionagem cibernética ligadas à China. Estes incluem a guerra comercial da China com os EUA, sua disputa no Mar do Sul da China com outros países da ASEAN e, mais recentemente, a pandemia coronavírus.
Para infiltração inicial, o spear-phishing é a tática favorecida atual entre esses grupos.
Os atores de ameaças chineses empregam a gama de táticas, técnicas e procedimentos (TTPs), mas as campanhas mais comuns incluem spear-phishing,realização de ataques de buracos de rega e operações estratégicas de compromisso na Web, comprometendo serviços compartilhados (como provedores de serviços gerenciados e redes de telecomunicações) e usando compromissos da cadeia de suprimentos.
Os ataques chineses tornaram-se mais focados e direcionados nos últimos anos, afastando-se do alto volume, padrão desfocado de ataques mais antigos.
“Dez anos atrás, os operadores de espionagem chineses não eram tão específicos sobre seus alvos desejados e comprometeriam os sites de grandes sites de notícias e organizações focadas no setor de alto perfil na tentativa de distribuir malware a todos os visitantes dessas páginas”, de acordo com Frederick Plan, analista sênior de espionagem cibernética da Mandiant Intelligence.
“Mais recentemente, no entanto, os grupos chineses são geralmente mais nuances e mais escolhidos com seus alvos, então eles dependerão de whitelisting ou spear-phishing de indivíduos específicos em uma organização direcionada.”
O uso de vulnerabilidades de segurança de software também é popular entre os APTs chineses.
Natalie Page, analista de inteligência de ameaças da Talion, disse: “Em outubro de 2020, a Agência de Segurança Nacional publicou um relatório detalhando 25 vulnerabilidades de alta gravidade publicamente conhecidas sendo utilizadas por hackers patrocinados pelo Estado chinês, muito depois de patches terem sido disponibilizados publicamente.”
“Para a infiltração inicial, o phishing de lança altamente direcionado é aparentemente a tática favorecida atual entre esses grupos”, acrescentou Page.
Que ataques foram ligados a grupos de espionagem chineses?
Grupos chineses da APT foram culpados por algumas das campanhas de crimes cibernéticos mais infames já presenciadas.
Grupos de ameaças prolíficos com supostas ligações com Pequim incluem Axiom (APT72), Deep Panda (APT19), Elderwood (APT17), Ke3chang (APT15), Mustang Panda, menuPass (APT10), PalmerWorm e Winnti (APT41).
A motivação predominante desse grupo está fortemente ligada ao governo chinês e às atividades de espionagem, embora alguns também tenham sido ligados a crimes financeiros.
Como os grupos APT chineses são organizados?
Historicamente, o Exército Popular de Libertação (PLA) liderou a espionagem cibernética chinesa, mas nos anos mais recentes o Ministério da Segurança do Estado (MSS) tornou-se mais importante do que as forças armadas do país.
Charity Wright, um ex-especialista em espionagem chinês da NSA que se tornou pesquisador de ameaças na Recorded Future, disse ao The Daily Swig: “Eu diria que, após 2015, a MSS está dominando o jogo de espionagem cibernética.
“O PLA reformou-se em 2015 para se concentrar na guerra. Em 2016, a MSS se dividiu em duas agências com objetivos mais definidos.”
Um conjunto crescente de evidências aponta para um maior compartilhamento de conhecimento entre grupos chineses.
O Plano da Mandiant Intelligence explicou: “As mudanças em seus TTPs incluem uma crescente dependência de ferramentas disponíveis publicamente (como o CobaltStrike BEACON) e o uso mais frequente de malware que é compartilhado entre vários grupos.”
“Acreditamos que o aumento do compartilhamento entre grupos é um indicativo de uma espécie de padronização das operações entre atores distintos”, concluiu Plan.
A empresa de inteligência de ameaças Talion concordou com essa avaliação, acrescentando que cepas personalizadas de malware como Poison Ivy, Cobalt Strike e PlugX são frequentemente compartilhadas entre grupos chineses.
O número de grupos de ameaças chineses “explorando simultaneamente as recentes vulnerabilidades do Exchange Server antes do lançamento de patches da Microsoft parece ser uma evidência desse maior compartilhamento de conhecimento”, de acordo com o Burnard da Secureworks.
Burnard acrescentou. “Observamos o aumento do crossover em malware e TTPs usados por grupos de ameaças chineses.
“Isso provavelmente reflete a reestruturação organizacional no aparato militar e de segurança da China, o aumento do compartilhamento de conhecimento entre grupos de ameaças e tentativas de minimizar o risco de atribuição pública de volta à China.”
Como a pandemia Covid-19 mudou a ameaça representada pela China?
A espionagem industrial continua sendo uma das maiores ameaças representadas pelos grupos de ameaças chineses.
Os ataques cibernéticos chineses têm como alvo todas as indústrias e verticais, mas áreas de interesse especial incluíram governo e defesa, tecnologia e telecomunicações.
Atores de ameaças chineses envolvidos em espionagem industrial muitas vezes visam a propriedade intelectual de concorrentes estrangeiros em muitas indústrias diferentes, a fim de produzir imitações de baixo custo de seus produtos.
A aquisição da propriedade intelectual da vacina Covid-19 tornou-se uma alta prioridade para grupos de espionagem cibernética em todo o mundo, incluindo os da China, em resposta à pandemia Covid-19 em curso.
Prudhomme, da IntSights, comentou: “Grupos chineses de espionagem cibernética anteriormente visavam empresas farmacêuticas e de saúde estrangeiras por sua propriedade intelectual.
“A pandemia apenas tornou esta indústria uma prioridade maior e reduziu o foco de seus ataques à pesquisa de vacinas Covid-19.”
FONTE: THE DAILY SWIG