À medida que a China continua sua jogada digital ao redor do mundo, pesquisadores estão alertando que a atividade de hacking de grupos há muito monitorados está evoluindo e se misturando. Além disso, os atacantes estão escondendo suas campanhas de forma mais eficaz e borrando as linhas entre cibercriminosos e hacking patrocinado pelo estado.
No ano passado, revelações abalaram o governo federal dos Estados Unidos, pois o grupo de hacking chinês conhecido como “Salt Typhoon” havia invadido pelo menos nove grandes telecomunicações dos EUA. E a onda de ataques do grupo continuou até este ano nos EUA e em outros países ao redor do mundo. Enquanto isso, o grupo de hacking vinculado a Pequim “Volt Typhoon” continuou a espreitar na infraestrutura crítica dos EUA e em utilidades ao redor do mundo. Enquanto isso, o notoriamente versátil sindicato conhecido como Brass Typhoon—também chamado de APT 41 ou Barium—tem operado nas sombras.
O grupo, que os pesquisadores vêm monitorando desde cerca de 2012, continuou silenciosamente seu amplo direcionamento ao redor do mundo no último ano. Brass Typhoon lançou uma rede ampla, levando os pesquisadores a vê-lo como uma espécie de coalizão ampla que atacou tudo, desde um aplicativo de gado dos EUA até código-fonte e designs de chips da indústria de semicondutores de Taiwan e até mesmo redes elétricas. E ao longo do último ano, o grupo comprometeu instituições internacionais nos setores de tecnologia e automotivo, materiais, transporte e logística, mídia e mais, usando novos e refinados malwares em uma variedade de campanhas sustentadas.
“Eles estão absolutamente ainda ativos e ainda evoluindo”, diz John Hultquist, que lidera a inteligência de ameaças na empresa de cibersegurança Mandiant, de propriedade do Google. “Mas é mais difícil atribuir parte dessa atividade do que era no passado, porque tudo faz parte de um ecossistema muito maior da atividade da China que foi deliberadamente construído para criar uma tremenda quantidade de capacidade.”
Brass Typhoon é conhecido por ter realizado uma notável sequência de ataques à cadeia de suprimentos de software no final dos anos 2010 e por ataques ousados a telecomunicações na mesma época, em que o grupo especificamente visava dados de registro de chamadas. A gangue também é conhecida por sua atividade híbrida, realizando hacks que se alinham com a espionagem patrocinada pelo estado chinês pelo Ministério da Segurança do Estado da China, mas também atuando em projetos aparentemente cibercriminosos, particularmente focados na indústria de videogames e em golpes de moeda dentro do jogo.
Pesquisas indicam que Brass Typhoon continuou ativo nos últimos meses com crimes financeiros visando plataformas de jogos online, bem como espionagem direcionada a empresas de manufatura e energia. Sua atividade sustentada ocorreu em paralelo às recentes campanhas chamativas de Salt e Volt Typhoon, e a análise mostra cada vez mais que as operações de hacking patrocinadas pelo estado da China devem ser vistas de forma abrangente, não apenas em termos de atores individuais.
“Acho que não devemos nos aprofundar demais na questão de é Salt? É Flax? É Volt?” disse a ex-diretora da Agência de Cibersegurança e Segurança de Infraestrutura dos EUA, Jen Easterly, à WIRED durante seus últimos dias nesse cargo em janeiro, referindo-se a uma variedade de grupos de hacking vinculados a Pequim. “No final das contas, a China, como vimos em avaliações da Comunidade de Inteligência, é a ameaça cibernética mais formidável e persistente que estamos enfrentando.”
Hultquist concorda, enfatizando que, embora rastrear a atividade de grupos individuais ainda seja vital, é cada vez mais importante para os defensores considerar as vantagens que a espionagem estatal e as operações de hacking ofensivas obtêm da ampla colaboração.
“Houve um tempo em que havia indicadores muito simples que nos diziam quem era cada ator, e eles estavam operando de forma incrivelmente barulhenta, então era fácil identificar a natureza explosiva da atividade”, diz ele. “APT 41 ainda está fazendo alguma atividade barulhenta, mas grande parte de sua atividade agora melhorou e eles se esforçaram para realmente evitar nossos controles.”
No final, no entanto, os pesquisadores dizem que a conclusão mais significativa sobre a atividade atual do Brass Typhoon é que ela continua em andamento.