Quatro chineses suspeitos de serem membros de um grupo cibercriminoso financiado pelo estado chinês, identificado como Ameaça Persistente Avançada 40 (APT40), estão sendo acusados de liderarem uma extensa campanha de ciberespionagem internacional, que furtou (junto com uma grande equipe de hackers contratados pelo Ministério da Defesa da China) segredos, dados e informações corporativas de empresas, universidades, institutos de pesquisa e agências governamentais do mundo todo.
- Ransomware Mespinoza já vazou dados de pelo menos 7 grandes empresas brasileiras
- Ataque à cadeia de suprimentos da Kaseya comprometeu 1500 empresas; aqui está tudo o que precisa saber sobre o caso
- Exclusivo: falha grave no LinkedIn permite envio de phishing pelo email oficial da empresa
Ding Xiaoyang, Cheng Qingmin, Zhu Yunmin e Wu Shurong, três oficiais (e um hacker independente) da Hainan State Security Department (HSSD), uma divisão do Ministério de Segurança do Estado chinês (MSS) na ilha de Hainan, extremo sul do território chinês, fazem parte da lista de criminosos procurados do FBI desde novembro de 2019. No entanto, essa informação só se tornou publica meses depois, na última segunda-feira, dia 19 de julho de 2021.
No dia 2 de março de 2021, a Microsoft publicou um alerta sobre uma recente campanha de ciberespionagem em massa, orquestrada por cibercriminosos associados ao Governo da China e direcionada às empresas com servidores internos (on-premises) rodando Microsoft Exchange, a aplicação de comunicação por email exclusiva para sistemas Windows Server (parecida com o Outlook).
Segundo a Microsoft, os cibercriminosos exploraram vulnerabilidades de dia zero no Microsoft Exchange, para infectar usuários desse serviço com um spyware (malware espião) capaz de coletar uma infinidade de dados, sem ser detectado. Até o dia 9 de março, mais de 250 mil servidores estavam infectados, desses, 30 mil eram de empresas dos Estados Unidos.
Uma atualização de segurança que corrige quatro vulnerabilidades de dia zero foi lançada pela empresa imediatamente após a identificação dos ataques. No entanto, por se tratar de uma atualização manual, muitas empresas ainda não atualizaram o serviço e continuam vulneráveis. Por esse motivo, como revelou um relatório da Check Point, o número de tentativas de ataques mais elaborados às empresas clientes do Microsoft Exchange aumentou 1028% em apenas uma semana.
Quase 45 dias depois do lançamento da atualização, o cenário ainda era de caos generalizado. Diversas empresas e agências governamentais e militares dos EUA, que lidam com dados bastante secretos, ainda estavam sendo monitoradas pelo governo da China, o que forçou o FBI a agir mais ativamente, invadindo os servidores das empresas infectadas através do próprio backdoor deixado pelos cribercriminosos, para remover o spyware das redes infectadas e procurar por rastros que levassem a identidade dos criminosos.
Não demorou para a Microsoft e o Departamento de Defesa dos EUA (DoJ) associarem que esses ataques estavam sendo operados pelo próprio Ministério de Defesa da China (MSS), através de uma gangue cibercriminosa reconhecida pelo FBI como APT40. A Casa Branca oficializou essa informação quatro meses após a identificação do ataque, na segunda-feira (19).
Os quatro chineses mencionados no começo desta reportagem são os líderes da Hainan Xiandun Technology Development, uma desenvolvedora de soluções de segurança da informação de fachada, criada pelo Ministério de Defesa chinês para furtar, através de ataques cibernéticos, segredos de outras nações para benefício do desenvolvimento da China. A Hainan Xiandun é o berço do APT40, uma ação gerida por um impulso tardio do que sobrou da Guerra Fria.
Resquícios da Guerra Fria: os arquivos da Hainan Xiandun
O texto começa: “O grande júri acusa; réu DING XIAOYANG, também conhecido como Ding Hao e Gerente Chen [...] Réu CHENG QINGMIN, também conhecido como Gerente Cheng [...] Réu ZHU YUNMIN, também conhecido como Zhu Rong [...] Réu WU SHURONG, também conhecido como goodperson, ha0r3n e Shi Lei”.
Esse trecho faz parte da acusação feita pelo Tribunal de San Diego, Califórnia, que os acusa de uma "campanha para invadir os sistemas de computadores de dezenas de empresas entre 2011 e 2018”. Os dados furtados por essa campanha eram oferecidos ao governo chinês, que os distribuía entre as empresas estatais e empresários parceiros do governo.
“Os réus e seus conspiradores do Departamento de Segurança do Estado de Hainan (HSSD) procuraram ofuscar o papel do governo chinês em tal roubo estabelecendo uma empresa de fachada, Hainan Xiandun Technology Development Co., Ltd. (海南 仙 盾) (Hainan Xiandun), uma vez dissolvida, para operar fora de Haikou, província de Hainan", continua o texto.
Tudo começou com uma ideia do HSSD de criar uma operação de ciberespionagem, que conseguisse informações sigilosas de concorrentes industriais e governamentais, mundo afora. A operação foi criada em 2009 disfarçada de uma empresa pública de tecnologia e segurança da informação, chamada Hainan Keshua.
A Hainan Kehua foi instalada em uma sala da biblioteca de uma das universidades públicas da ilha. Seu diretor era Professor G.J, um professor de ciência da computação que ficou responsável, principalmente, pela contratação de novos funcionários. Para a gestão dos projetos, a HSSD transferiu um de seus oficiais de Beijing, Zhu Yunmin e contratou outro, o novato, Ding Xiaoyang (futuramente reconhecido pelo MSS por seu trabalho e liderança).
Durante os dois primeiros anos de operação, a Hainan Keshua se concentrou em contratar hackers e tradutores, selecionando candidatos através de campeonatos de hacking e testes técnicos de segurança da informação, organizados com ajuda de universidades locais. A contratação em massa, embora tenha marcado o início da "empresa", é uma prática que sempre se manteve.
Em 2011, antes de começar as investidas cibercriminosas em outros países, o HSSD resolveu rebatizar a operação para Hainan Xiandun. Foi com esse nome, que o exército de hackers comprometeu emails, enviou diversos malwares (spywares, trojans de acesso remoto e botnets) e furtou registros sigilosos de pelo menos 1 centro de pesquisa privado, 7 universidades, 8 empresas (maioria fornecedoras de governos), 6 entidades públicas, empresas públicas e agências de governos.
Ebola, tecnologia marítima, carros autônomos e muitos segredos de estado
A Hainan Xiandun iniciou sua operação de ciberespionagem, em junho de 2011, comprometendo centros de pesquisa, universidades e empresas ligadas ao desenvolvimento de vacinas para o Ebola, uma doença em desenvolvimento desde 1976, com vacinas sendo fabricadas desde 2003. Ao mesmo tempo que também direcionou ataques contra desenvolvedores de tecnologia militar, principalmente naval.
“Por volta do dia 10 de maio de 2012, membros da conspiração compilaram o malware Gh0stRAT, um trojan de acesso remoto (RAT), utilizado para se infiltrar na conta e rede de um professor de uma universidade na Califórnia, com institutos de pesquisa envolvidos no desenvolvimento de vacinas, tecnologia marítima e hidroacústica”, escreve a acusação.
Wu Shurong, responsável pelo desenvolvimento de algumas das mais notórias ferramentas da Hainan Xiandun entrou para a operação em março de 2013. Sua primeira missão foi desenvolver o malware PHOTO, um RAT, utilizado pelo grupo contra praticamente todas as vítimas da “empresa”.
Durante 2011 e 2018, a Hainan Xiandun infectou suas vítimas com os malwares BADFLICK, GreenCash, PHOTO, Derusbi, MURKYTOP, Mt.exe, HOMEFRY, dp.dll e Gh0stRAT. Alguns desenvolvidos em casa, outros por terceiros e ainda alguns antigos “combatentes” do MSS em operações anteriores. Os criminosos utilizavam todas as ferramentas que tinham a disposição em quase todas as vítimas, infectando-as com praticamente todos esses malwares, o que garantiu ao grupo uma possibilidade de movimentação lateral veloz e eficiente, além de se manterem indetectáveis por muito tempo.
Em 2015 a Hainan Xiandun começou sua campanha de espionagem contra a indústria automobilística e robótica, com foco no desenvolvimento de carros autônomos. Sua primeira vítima nesse setor foi uma universidade da Pensilvânia com um programa de engenharia robótica envolvido na pesquisa e desenvolvimento de veículos autônomos e embarcações marítimas. O grupo utilizou o malware MURKYTOP para se mover lateralmente na rede da universidade e com isso, furtar segredos do desenvolvimento de veículos autônomos nos EUA.
A essa altura a Hainan Xiandun já era uma empresa de sucesso, com crescimento acelerado e novos funcionários sendo contratados constantemente. A salinha na biblioteca da universidade já tinha se tornado pequena faz tempo. Com seu desenvolvimento, foram ocupando outros imóveis em Haikou, cidade ao norte da ilha de Hainan, como o 19° andar do Chengtian Garden Building, um dos centros de treinamento da operação, dirigido pelo acusado Cheng Qingmin.
O ano mais produtivo da Hainan Xiandun
Em fevereiro de 2017, a Hainan Xiandun começou sua espionagem contra o governo do Cambodia, Arábia Saudita e Malásia, em busca de informações sobre desenvolvimento de tecnologias marítimas. Durante os próximos meses, até julho de 2017, o grupo focou em empresas, universidades e agências governamentais ligadas ao desenvolvimento de navios e aeronaves de diversos países. Embora tenha focado nessas áreas, a espionagem militar, naval e aérea sempre foi (junto com pesquisa e desenvolvimento de vacinas), a principal frente da Hainan Xiandun.
Em agosto de 2017 foi a vez de um conglomerado multinacional alemão, com unidades industriais no mundo todo, além de mais uma empresa de tecnologia marítima. Já em setembro de 2017, utilizaram emails comprometidos anteriormente de uma universidade havaiana, com um laboratório aplicado em pesquisa e desenvolvimento dessas tecnologias, para enviar emails carregados com malwares para outros pesquisadores, através do email de um dos diretores do laboratório.
“Em 16 de setembro de 2017, membros da conspiração utilizaram a conta de email comprometida do diretor de uma universidade do Havaí para enviar spear phishing para outros funcionários de outras universidades (uma em Pensilvânia, outra em Maryland e outra em Washington) envolvidas em pesquisa e desenvolvimento de tecnologia marítima e física aplicada para marinha”, escreve o documento.
Durante o decorrer de 2017, a Hainan Xiandun continuou sua missão de espionagem de concorrentes marítimos, mas não abriu mão da espionagem contra concorrentes produtores de vacinas, o que trouxe inúmeros benefícios à indústria chinesa, especialmente à envolvida em pesquisa naval, biomédica, farmácia e desenvolvimento de vacinas.
No final de 2017, início de 2018, a Hanian Xiandun Tecnology Development já era um dos maiores orgulhos do MSS, que fez questão de parabenizar publicamente seu oficial, Ding Xiaoyang, com o prêmio de jovens líderes do Ministério de Segurança do Estado da China.
Cinco a dez anos de prisão
Conforme concluiu o DoJ, O APT40, também conhecido como APT 40, BRONZE, MOHAWK, FEVERDREAM, G0065, Gadolinium, GreenCrash, Hellsing, Kryptonite Panda, Leviathan, Mudcarp, Periscope, Temp.Periscope e Temp.Jumper furtou segredos corporativos, tecnologias, dados e fórmulas químicas utilizados no desenvolvimento de vacinas (Ebola, MERS, HIV/AIDS, Marburg e Tularemia) submarinos, veículos autônomos, aeronaves e softwares de representantes públicos e privados dos setores de aviação, defesa e inteligência, educação, governos, marinha, saúde e biomedicina.
Pelo menos 12 países diferentes foram contabilizados entre as vítimas. São eles: Estados Unidos, Áustria, Cambodia, Canadá, Alemanha, Indonésia, Malásia, Noruega, Arábia Saudita, África do Sul e Reino Unido. As informações furtadas foram fornecidas ao governo da China, para benefício da indústria e Estado local.
Para furtar esses dados, a Hainan Xiandun operou complexas campanhas maliciosas envolvendo phishing, spear phishing, sites e emails falsos, além de perfis LinkedIn utilizados para comprometer meios de comunicação, aplicações de transferência de arquivos, emails, redes e servidores das vítimas. Após esse acesso inicial nas redes, os cibercriminosos instalaram uma série de malwares (em especial Trojans de Acesso Remoto [RAT]).
O grupo também utilizou ferramentas de anonimidade como TOR e Rede Privadas Virtuais (VPNs) para acessar os ambientes de TI e servidores das vítimas. Além disso, também utilizaram tecnologia esteganográfica, ou seja, texto e código escondido em imagens, para disfarçar os dados furtados e códigos maliciosos, armazenados no GitHub e Dropbox.
A investigação foi conduzida pelo tribunal da Califórnia, em parceria coma divisão de cibersegurança do FBI e contou com o auxílio de um grande número de vítimas e empresas de segurança da informação, que colaboraram com dados valiosos. Caso sejam capturados, os acusados podem pegar de 5 até 15 anos de prisão.
“Essas acusações criminais ressaltam mais uma vez que a China continua a usar ataques cibernéticos para roubar o que outros países fazem, em flagrante desrespeito aos seus compromissos bilaterais e multilaterais. A amplitude e a duração das campanhas de hacking da China, incluindo esses esforços visando uma dúzia de países em setores que vão desde saúde e pesquisa biomédica até aviação e defesa, nos lembram que nenhum país ou indústria é seguro. A condenação internacional de hoje mostra que o mundo quer regras justas, onde os países invistam em inovação, não em roubo", comentou a procuradora-geral da Califórnia, Lisa O. Monaco.
Fontes: Microsoft; Departamento de Justiça dos EUA; FBI (PDF)