Cibercriminosos financiados pelo estado chinês invadiram pelo menos cinco grandes provedoras de telecomunicações do sudeste asiático (Indonésia, Filipinas, Malásia, Mianmar, Singapura, Tailândia, Vietnã, entre outros) nos últimos dois anos. Essas informações foram reveladas pela firma estadunidense de segurança da informação, Cybereason, através da pesquisa "DeadRinger: expondo atores de ameaças chinesas visando grandes operadoras de telecomunicações", publicada nesta terça-feira (03).
- APT40: por dentro de um dos maiores grupos cibercriminosos do Governo da China
- Governos acusam China de ser responsável pelo ataque massivo contra servidores Microsoft Exchange; China nega
- Pegasus: vazamento de dados de spyware israelense revela mais de 50 mil vítimas de governos autoritários
De acordo com os pesquisadores, os ataques foram realizados por três grupos cibercriminosos ligados ao Governo da China. São eles: Gallium (também conhecido como Soft Cell); Naikon APT e APT27 (também conhecido como Emissary Panda). Embora os grupos façam parte do Governo da China, eles utilizaram técnicas diferentes para violar as mesmas empresas, com objetivo de fornecer dados, informações e segredos corporativos para benefício da indústria e Estado chinês.
Essas campanhas de ciberespionagem da China contra indústria da telecomunicação do sudeste asiático começaram ainda em 2017 e em alguns casos, os cibercriminosos permaneceram indetectáveis por anos. Assaf Dahan, chefe de pesquisa em ameaças da Cybereason revela que as empresas comprometidas são gigantes e possuem "dezenas de milhões de clientes".
“Avaliamos que o objetivo dos invasores por trás dessas invasões era obter e manter acesso contínuo a provedores de telecomunicações e para facilitar a espionagem cibernética por meio da coleta de informações confidenciais, comprometendo ativos de negócios de alto perfil, como os servidores de faturamento que contêm dados do Call Detail Record (CDR), bem como componentes de rede importantes, como os controladores de domínio, Servidores Web e servidores Microsoft Exchange”, disse Dahan em uma entrevista ao The Record.
Dahan explica também que embora os grupos sejam todos parte do Governo chinês, não foi encontrado nenhum indício de que os grupos estavam trabalhando juntos. "Não observamos uma interação direta entre os clusters [...] Pode ser muito tentador dizer que todos eles estão conectados e tratar isso como um grande ataque. No entanto, com base em nossa telemetria, não observamos um tipo de 'prova fumegante' de conexão direta entre os três clusters", explica.
Mas, isso não anula a possibilidade dos grupos trabalharem juntos. “A verdade é que simplesmente não sabemos. Um dos motivos pelos quais optamos por compartilhar nossas descobertas com a comunidade é a esperança de que, ao longo do tempo, novas informações possam lançar luz sobre essa interessante sobreposição”, conclui o executivo.
Fontes: Cybereason; The Record.