Um grupo hacker chinês está realizando uma série de ataques focados principalmente em empresas do mundo dos games. Enquanto os nomes das empresas atingidas não foram revelados, os especialistas da FireEye explicaram os métodos utilizados pelos criminosos, que usam ransomwares em ataques direcionados, além de gerarem grandes quantidades de itens ou dinheiro virtual que, mais tarde, são vendidos no mercado negro.
Por trás das ações está o grupo conhecido como Advanced Persistent Threat 41 (APT41, na sigla em inglês), também chamado de Barium ou Winnti em outros relatórios de segurança. Seus ataques seriam sempre segmentados, o que sugeriria a contratação por grupos específicos do mundo político ou industrial, por exemplo, para operações ligadas a eleições, roubo de propriedade intelectual ou prejudicar rivais. Os ataques ligados aos games, entretanto, seriam uma forma de financiar operações próprias.
O ataque acontece a partir de empresas parceiras das desenvolvedoras de games, com softwares fornecidos por elas sendo infectados com malwares. E-mails de phishing, certificados digitais comprometidos ou roubos de credenciais a partir de outros vazamentos de dados também são estratégias para ganhar acesso aos sistemas fechados das produtoras, visando chegar, então, às moedas ou itens virtuais, que são gerados e transferidos em massa para contas sob o controle dos criminosos.
Além disso, máquinas e computadores específicos seriam alvos em operações de ransomware, voltadas para a obtenção direta de dinheiro. Os mesmos métodos citados anteriormente também seriam utilizados nesses golpes, mas para criptografar arquivos ou aplicações importantes no dia a dia do estúdio, interrompendo seu funcionamento e obrigando os responsáveis pelas produtoras a realizarem pagamentos de forma a evitar perdas maiores ou uma interrupção no funcionamento dos títulos.
Esse tipo de ataque voltado à cadeia de produção também já é um modo de operação antigo do APT41, que já realizou golpes assim contra nomes como Asus, CCleaner e NetSarang. Em operação desde 2012, de acordo com as informações da empresa de segurança, os criminosos teriam intensificado suas operações em 2014, ainda que, aparentemente, trabalhando de forma ligada a interesses de terceiros, sem muitas operações para benefício próprio.
Entre outros golpes cujas vítimas não foram reveladas, estão campanhas de manipulação de roubo de informação contra políticos e golpes visando empresas do setor de tecnologia para saúde, crédito e telecomunicações. Companhias de pelo menos 14 países, como Estados Unidos, Reino Unido, França, Cingapura e Índia, já teriam sido alvo das operações do grupo.
Enquanto isso, em suas operações em prol do governo, o APT41 já teria trabalhado em tentativas de invasão a empresas estatais estrangeiras, incluindo setores de infraestrutura dos 14 países citados, bem como operações de invasões e comprometimento de informações de críticos ou dissidentes políticos da China. São essas relações entre o grupo e o governo do país que levaram os especialistas a emitirem o alerta, uma vez que ataques direcionados costumam causar mais danos e serem mais difíceis de se detectar.
Justamente por isso, a FireEye divulgou uma lista de softwares e certificados que já foram comprometidos pelo grupo, para que os alvos possam se resguardar. Entretanto, como dá para imaginar, a divulgação pública das operações do grupo fará com que eles mudem a maneira de atuar, mas não as ações em si; portanto, todo cuidado é pouco para aqueles que estão na mira dos hackers.