Ciberespiões chineses usam mesmas ferramentas que cibercriminosos

Análises feitas no universo de segurança indicam que ciberespiões chineses e cibercriminosos tradicionais estão se apoiando nas mesmas ferramentas de malware. Em alguns casos raros, espiões cibernéticos parecem se arriscar, ainda, no crime financeiro por meio da. Essa indefinição de ferramentas e missões pode dificultar que a empresas determinem exatamente do que os invasores estão atrás, uma vez que são descobertos.

Richard Bejtlich, diretor de segurança da Mandiant, disse que antes de entrar na empresa havia visto diferentes invasões usando o mesmo tipo de ferramentas – especialmente acesso remoto troia (RAT), como o Poison Ivy e Ghost.

“Vi alguns casos ondem alguns fóruns chineses falavam de um ataque zero-day que tinham descoberto e o transformavam em uma ferramenta. Depois, essa atividade era vista contra inúmeros clientes em um ataque APT [Advanced Persistent Treat]”, afirmou Bejtlich.

Um dos 20 grupos de ciberespionagem que Mandiant rastreia parece ter alguns laços com ataques phishing em massa por e-mail. “Suspeitamos que esse grupo realize tais atividades ou tenha laços com outro que efetue ataque por e-mail”.

Mas os pesquisadores da empresa afirmam que, em sua maioria, os espiões chineses não se juntam a cibercrime tradicionais, uma vez que eles se consideram invasores patriotas e profissionais.

Greg Hoglund, CTO da ManTech CSI e fundador da HBGary, afirma que sua equipe observa invasões do tipo APT fora da China também executando botnets, venda de produtos farmacêuticos falsos, fraude online e roubo de contas. A equipe da empresa conseguiu imagens de um disco rígido de um servidor command-and-control de um grupo APT no qual encontrou propriedade intelectual roubada além de ferramentas personalizadas para roubo de credenciais em um jogo online famoso.

Hoglund afirma que sua teoria é que esse tipo de invasor é como um “cibercriminoso/mercenário”, que realiza ciberespionagem em nome da China e também se engaja em atividade de invasão “tradicionalmente associadas com o e-crime”. Ele disse ter observado uma ameaça APT usando a popular ferramenta injeção SQL como um método de movimento dentro da empresa alvo.

Tipos separados

Outros pesquisadores não acreditam nessa teoria. Dmitri Alerovitch, cofundador e CTO da CrowdStrie afirma que são dois tipos separados de invasões. “Não concordo. Não vejo relação. Nunca vi ciberespionagem chinesa motivada por atividade criminosa ou em busca disso. Seu objetivo é sempre espionagem política ou acesso em IP, segredos ou comprometimento de mais pessoas”.

Mas ele concorda no uso de ferramentas tradicionais malware em invasões de ciberespionagem. Os invasores chineses usam ferramentas de invasões criminosas, como o Zeus, no primeiro estágio da exploração, ele disse.

O problema é que nem todos os ataques são sobre o malware. “Malware é intercambiável, e algumas vezes os ciberespiões usam malware criminosos, o que não é o problema principal. O problema é do que eles estão atrás. Como estão realizando a parte humana da operação”? questiona Alperovitch.

Hoglund afirma que as empresas não devem encarar as máquinas infectadas apenas como um vírus. “Pensem nisso como um acesso. Se você tem um problema de botnet, é um problema de acesso: alguém conseguiu acesso à sua rede e dados”, finalizou.

Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini

Saiba mais:

APT: 4 dicas para rastrear ameaças persistentes em sua rede

Ameaças virtuais APT: o que são e por que tão perigosas

Arquiteto de rede: entenda os desafios de segurança DOS e APT