Um grupo hacker chinês foi apontado como o responsável por ataques à infraestrutura pública de seis países, incluindo o Brasil, para interrupção de serviços ou roubo de informações confidenciais. O Calypso APT, que teria residência na China, mas não necessariamente estaria ligado ao governo do país, está em ação desde 2016, realizando tentativas de invasão a sistemas oficiais e de grandes corporações.
O Brasil aparece em segundo lugar na lista dos seis países, ao lado do Cazaquistão, com 18% dos ataques desferidos pelo Calypso APT contra sistemas oficiais. Somente a Índia está à frente, com 34%, e na sequência aparecem Rússia e Tailândia (12% cada) e, por fim, a Turquia (6%). A existência de fins políticos, entretanto, não pôde ser confirmada, assim como a ligação entre os hackers e o governo da China.
De acordo com o relatório da Positive Technologies, responsável por revelar os casos, o método usado seria sempre semelhante. Os criminosos conseguiam acesso aos sistemas por meio de credenciais roubadas de funcionários, normalmente a partir de ataques de phishing, ou faziam o que a empresa chamou de golpes no perímetro da rede, injetando programas especiais que, quando executados, abriam as portas das plataformas para intrusão.
De acordo com os especialistas, a principal razão para o sucesso dos hackers é a utilização de ferramentas de redes públicas e amplamente usadas no mercado, o que dificultou sua localização por administradores e a detecção por softwares de segurança. Não ajudou nada, claro, a infraestrutura defasada ou com brechas de boa parte dos sistemas públicos dos países citados, algo que facilitou a ação dos criminosos.
A identificação dos criminosos como de origem chinesa, veio a partir da análise de IPs. Em alguns casos, os hackers nem mesmo se preocuparam em ofuscar seus endereços reais, o que revelou a utilização de acessos fornecidos por operadoras do país. Além disso, de acordo com a Positive Technologies, entre as ferramentas utilizadas para as intrusões estão dois malwares chamados PlugX e Byeby, bastante comuns entre grupos da China e usados em operações de intrusão e roubo de dados.
O relatório da Positive Technologies entra em minúcias técnicas sobre o funcionamento das ferramentas e os métodos usados pelos hackers do Calypso APT para intrusão. Por outro lado, apesar de revelar os países atingidos e a existência de danos e intrusões contra serviços públicos, os especialistas não entram em detalhes sobre os casos nem indicam os órgãos em que as vulnerabilidades teriam sido encontradas, apesar de informarem que elas foram devidamente notificadas.
De maneira geral, a indicação da empresa é para que administradores de rede utilizem ferramentas de análise profunda de tráfego em suas redes como forma de detectar intrusões assim que elas ocorrerem. Tais sistemas também são capazes de encontrar atividades suspeitas e reconhecerem utilizações legítimas, servindo como boas armas para os golpes de perímetro como os utilizados pelos criminosos.
Ainda, vale a pena prestar atenção nas aplicações rodando no sistema e também em sistemas conectados, cujas brechas também podem ser usadas para invasão. Além disso, claro, vale um treinamento para que funcionários protejam suas credenciais de acesso e não caiam em tentativas de phishing que possam levar logins e senhas às mãos erradas. Caso ocorrências assim aconteçam, também é importante informar imediatamente aos administradores, para que eles possam tomar providências.
FONTE: Canal Tech