À medida que a China continua sua estratégia digital em todo o mundo, os pesquisadores alertam que a atividade de hacking de grupos há muito tempo rastreados está evoluindo e se mesclando. Além disso, os atacantes estão escondendo suas campanhas de forma mais eficaz e borrando as fronteiras entre cibercriminosos e hackers apoiados pelo estado.
No ano passado, revelações abalaram o governo federal dos Estados Unidos de que o grupo de hacking chinês conhecido como “Salt Typhoon” havia invadido pelo menos nove grandes empresas de telecomunicações dos EUA. E a investida do grupo continuou até este ano nos EUA e em outros países ao redor do mundo. Enquanto isso, o grupo de hacking vinculado a Pequim “Volt Typhoon” continua a se esconder na infraestrutura crítica dos EUA e em serviços públicos em todo o mundo. Enquanto isso, o sindicato notoriamente versátil conhecido como Brass Typhoon – também chamado de APT 41 ou Bário – tem operado nas sombras.
O grupo, que os pesquisadores vêm rastreando desde cerca de 2012, continuou silenciosamente seu amplo alcance ao redor do mundo ao longo do último ano. Brass Typhoon lançou uma rede ampla, levando os pesquisadores a vê-lo como uma espécie de coalizão ampla que atacou desde um aplicativo de gado nos EUA até códigos-fonte e projetos de chips da indústria de semicondutores de Taiwan e até redes de energia. E ao longo do último ano, o grupo comprometeu instituições internacionais nos setores de tecnologia e automotivo, materiais, transporte e logística, mídia e muito mais, usando novos e refinados malwares em uma série de campanhas sustentadas.
“Ele ainda está ativo e evoluindo”, diz John Hultquist, que lidera a inteligência de ameaças na empresa de cibersegurança Mantenha, de propriedade do Google. “Mas está mais difícil atribuir algumas dessas atividades do que era no passado, porque tudo faz parte de um ecossistema muito maior da atividade da China, que foi deliberadamente construído para criar uma tremenda quantidade de capacidade.”
Brass Typhoon é conhecido por ter realizado uma notável série de ataques de cadeia de suprimentos de software no final da década de 2010 e por ataques ousados em empresas de telecomunicações na mesma época, em que o grupo visava especificamente dados de registros de chamadas. A gangue também é conhecida por sua atividade híbrida, realizando hacks alinhados com atividades de espionagem patrocinadas pelo estado chinês pelo Ministério de Segurança do Estado, mas também trabalhando secretamente em projetos aparentemente cibercriminosos, especialmente focados na indústria de videogames e scams de moedas do jogo.
A pesquisa indica que o Brass Typhoon tem continuado ativo nos últimos meses, com crimes financeiros visando plataformas de apostas online, bem como espionagem mirando fabricantes e empresas de energia. Sua atividade sustentada tem ocorrido em paralelo às recentes e chamativas campanhas de Salt e Volt Typhoon, e a análise mostra cada vez mais que as operações de hacking apoiadas pelo estado chinês devem ser vistas de forma abrangente, não apenas em termos de atores individuais.
“Eu acho que não devemos ficar muito focados em se é o Salt? É o Linho? É o Volt?” disse Jen Easterly, ex-diretora da Agência de Cibersegurança e Infraestrutura dos EUA ao WIRED durante seus últimos dias nesse cargo em janeiro, referindo-se a uma série de grupos de hacking vinculados a Pequim. “No fim do dia, a China, como vimos nas avaliações da Comunidade de Inteligência, é a ameaça cibernética mais formidável e persistente com a qual estamos lidando.”
Hultquist concorda, enfatizando que, embora o rastreamento da atividade de grupos individuais ainda seja vital, é cada vez mais importante para os defensores levar em conta as vantagens que a espionagem estatal e as operações ofensivas de hacking obtêm por meio de ampla colaboração.
“Houve um tempo em que havia indicadores muito simples que nos diziam quem era cada ator, e eles estavam operando de maneira incrivelmente barulhenta, então era fácil identificar a natureza de violência da atividade”, diz ele. “APT 41 ainda está fazendo algumas atividades barulhentas, mas grande parte de sua atividade agora melhorou e eles fizeram um esforço para realmente evitar nossos controles.”
No entanto, os pesquisadores afirmam que a conclusão mais significativa sobre a atividade atual do Brass Typhoon é que ela continua em pleno curso.
