China acusa NSA de ciberataques contra universidade chinesa

Pesquisadora analisa relatórios chineses que vinculam ataques cibernéticos ao grupo de hackers da NSA

Agências do governo chinês e empresas privadas atribuíram ataques cibernéticos direcionados à Universidade Politécnica do Noroeste da China à Agência de Segurança Nacional dos Estados Unidos (NSA). A investigação se baseou em evidências como endereços IP, cronologia dos incidentes, entradas de teclado, erros humanos e ferramentas utilizadas, conforme relatado por uma pesquisadora de segurança.

Em setembro de 2022, o Centro Nacional de Resposta a Emergências de Vírus de Computador da China (CVERC) acusou a NSA de realizar dezenas de milhares de ataques cibernéticos contra redes do país, incluindo a infiltração da Universidade Politécnica do Noroeste. Um ano depois, o CVERC afirmou ter ligado um malware usado em um ataque ocorrido em abril de 2022 à NSA e identificado os invasores responsáveis.

No entanto, o CVERC não foi a única entidade chinesa a culpar a NSA pelo ataque à universidade. A pesquisadora australiana Lina Lau, cofundadora da Xintra, empresa especializada em treinamento avançado em cibersegurança, analisou diversos relatórios para entender melhor as evidências por trás dessa atribuição.

Embora "a autenticidade e a extensão dessas alegações ainda não tenham sido verificadas por fontes independentes," os relatórios fornecem uma visão clara da metodologia chinesa de resposta a incidentes, segundo Lau. A China rastreia o grupo hacker como APT-C-40, que Lau sugere estar vinculado ao notório Equation Group, uma operação secreta de hackers associada à NSA.

Evidências apontadas nos relatórios chineses

Segundo os relatórios analisados, a divisão de Operações de Acesso Personalizado (TAO) da NSA teria atacado a universidade para roubo de dados e espionagem. Durante os ataques, teriam sido implantadas pelo menos 41 variantes de malware e realizadas operações manuais diretamente nos sistemas alvo.

Os relatórios da universidade, do CVERC e da empresa de segurança Qihoo 360 mencionam quatro endereços IP supostamente adquiridos pela NSA por meio de entidades de fachada, além do uso de serviços anônimos para mascarar domínios e certificados.

As operações ocorreram em dias úteis, mas não em feriados nacionais dos EUA, como o Memorial Day e o Dia da Independência. Além disso, os hackers utilizaram teclados com layout americano e sistemas operacionais configurados em inglês, o que indicaria uma origem nos EUA.

Um dos invasores teria esquecido de modificar os parâmetros de um script Python, o que resultou em um erro que expôs seu diretório de trabalho. Esse diretório conteria um nome especial associado às ferramentas de ataque da rede TAO, entregando um rastro direto para os supostos responsáveis.

Após o vazamento dos Shadow Brokers, que revelou ferramentas da NSA, os relatórios afirmam que os malwares utilizados no ataque à universidade tinham semelhanças de até 97% com os expostos nesse vazamento. No total, foram identificados 41 malwares, sendo 16 deles consistentes com os kits de ferramentas TAO da NSA.

Técnicas e ferramentas utilizadas no ataque

Os relatórios indicam que a NSA explorou zero-days para hackear a universidade, utilizando 54 servidores intermediários (jump servers) e 5 servidores proxy no ataque. Um dos principais recursos empregados teria sido o Shaver, uma ferramenta projetada para atacar sistemas SunOS.

Outras técnicas identificadas incluem ataques man-in-the-middle (MitM), phishing e a plataforma FoxAcid para exploração de vulnerabilidades zero-day. Ferramentas adicionais como Island (para exploração manual de sistemas Solaris) e o framework de espionagem SecondDate foram empregadas para sequestrar tráfego, realizar escutas na rede e injetar código malicioso.

Acredita-se que os hackers tenham sequestrado hosts internos e servidores para instalar ferramentas adicionais que possibilitaram acesso remoto a equipamentos centrais da rede, servidores e terminais.

Para garantir persistência a longo prazo e movimentação lateral, os invasores teriam utilizado ferramentas como SecondDate, NoPen, Flame Spray, Cunning Heretics e Stoic Surgeon, além de credenciais legítimas de firewalls e mecanismos de atualização de software comprometidos. Também foram mencionadas táticas de sequestro de senhas SSH, Telnet e Rlogin, bem como a manipulação do tráfego de rede por meio de roteadores comprometidos.

Segundo os relatórios, os hackers da NSA teriam sistematicamente roubado dados sigilosos de pesquisa, detalhes da infraestrutura de rede e documentos operacionais sensíveis.

Lau enfatiza que é comum hackers de governos cometerem erros operacionais que expõem sua identidade e técnicas. Entretanto, ela também alerta que grupos altamente sofisticados costumam plantar falsos indícios para dificultar a atribuição dos ataques.

Via - SW