Uma das equipes mais eficazes de hackers apoiadas pelo governo chinês também está realizando operações paralelas com motivação financeira, disseram pesquisadores de segurança cibernética na quarta-feira.
A FireEye, uma empresa dos EUA, informou que membros do grupo Advanced Persistent Threat 41 (APT41) invadiram o governo chinês e espionaram fornecedores globais de tecnologia, comunicação e assistência médica ao usar ransomware contra empresas de jogos e atacar fornecedores de criptomoedas para alcançar lucro pessoal.
Os resultados, anunciados na Black Hat Security Conference em Las Vegas, mostram que alguns dos hackers mais avançados do mundo são cada vez mais uma ameaça para consumidores e empresas que tradicionalmente não são afetadas por campanhas de espionagem patrocinadas pelo governo.
"O APT41 é único entre os atores do China Nexus que rastreamos porque utiliza ferramentas que normalmente são reservadas para campanhas de espionagem e que parecem ser usadas apenas para ganho pessoal", disse Sandra Joyce, vice-presidente sênior da FireEye.
As autoridades da China não responderam imediatamente ao pedido de comentário da Reuters. Pequim negou repetidamente as alegações ocidentais de espionagem cibernética.
De acordo com o FireEye, o grupo APT 41 usou algumas das mesmas ferramentas que outro grupo através do qual o FireEye APT17 e a empresa de segurança russa Kaspersky Winnti estão chamando.
Atuais e ex-oficiais de inteligência ocidentais disseram que os grupos de hackers da Reuters são conhecidos por perseguir crimes comerciais, além de suas operações apoiadas pelo governo.
A FireEye, que vende software e serviços de segurança cibernética, disse que um membro da APT41 anunciou como hacker o aluguel em 2009 e indicou disponibilidade fora dos dias úteis normais, o que era uma indicação do luar.
O grupo usou e-mails com spear phishing ou truques para coletar credenciais. No entanto, também foram fornecidos kits raiz, que são relativamente raros e permitem um controle difícil dos computadores. Segundo o FireEye, o grupo usou um total de quase 150 tipos diferentes de malware.
Uma das conquistas mais impressionantes tecnicamente foi danificar milhões de cópias de um utilitário chamado CCleaner, que agora pertence à empresa de segurança Avast. Apenas um pequeno número de computadores especialmente selecionados e de alta qualidade foi totalmente comprometido, dificultando a detecção do hack.
A Avast disse que trabalhou com pesquisadores de segurança e policiais para interromper o ataque e que nenhum dano foi encontrado. A empresa não teve mais comentários imediatos na quarta-feira.
Em março, a Kaspersky descobriu que o grupo usara mal o processo de atualização de software da Asus em mais de 1 Para alcançar um milhão de computadores. No dia seguinte, a Asus anunciou que havia lançado uma correção para o ataque que afetava "um pequeno número de dispositivos".
"Temos evidências de que pelo menos uma empresa de telecomunicações poderia ter sido o alvo pretendido durante o compromisso da Asus, o que tem sido consistente com o alvo de espionagem da APT41 nos últimos dois anos", disse o porta-voz da FireEye, Dan Wire.
No entanto, a FireEye e a empresa eslovaca de segurança cibernética ESET disseram que os compromissos com o jogo têm mais a ver com motivos financeiros do que com espionagem nacional. Entre outras coisas, o grupo ganhou acesso ao ambiente de produção de um jogo e gerou dezenas de milhões de dólares em moedas virtuais, de acordo com o FireEye.
© Thomson Reuters 2019
