EUA Indiciam 12 Hackers chineses por espionagem e roubo de dados

O Departamento de Justiça dos Estados Unidos (DoJ) anunciou a acusação de 12 cidadãos chineses por sua suposta participação em um esquema global de roubo de dados e repressão à liberdade de expressão e dissidência.

Os indiciados incluem dois oficiais do Ministério da Segurança Pública (MPS) da República Popular da China (RPC), oito funcionários da empresa chinesa Anxun Information Technology Co. Ltd. (também conhecida como i-Soon) e membros do grupo hacker Advanced Persistent Threat 27 (APT27), também identificado como Budworm, Bronze Union, Emissary Panda, Lucky Mouse e Iron Tiger. Entre os nomes citados estão Wu Haibo, diretor executivo da i-Soon, e os hackers Yin Kecheng e Zhou Shuai, ambos associados ao grupo APT27.

De acordo com o DoJ, esses hackers atuaram tanto como freelancers quanto como funcionários da i-Soon, realizando invasões cibernéticas sob a direção do MPS e do Ministério da Segurança do Estado (MSS) da China. Os órgãos governamentais chineses pagavam generosamente pelos dados roubados. Documentos judiciais revelam que o MPS e o MSS utilizavam uma rede de empresas privadas e contratados para invadir sistemas de empresas e roubar dados, disfarçando seu envolvimento direto.

Entre 2016 e 2023, os oito funcionários da i-Soon e os dois oficiais do MPS foram acusados de invadir contas de e-mail, celulares, servidores e sites. Segundo o FBI, as atividades da i-Soon estão associadas ao grupo Aquatic Panda (RedHotel), enquanto o APT27 tem relação com os grupos Silk Typhoon, UNC5221 e UTA0178. O governo chinês tem usado conexões formais e informais com hackers freelancers e empresas de segurança da informação para comprometer redes de computadores globalmente.

O programa Rewards for Justice (RFJ), do Departamento de Estado dos EUA, anunciou uma recompensa de até US$ 10 milhões por informações que levem à identificação ou localização de qualquer pessoa envolvida em atividades cibernéticas maliciosas contra a infraestrutura crítica dos EUA sob direção de um governo estrangeiro.

A i-Soon e seus funcionários arrecadaram dezenas de milhões de dólares, consolidando a empresa como um dos principais players do ecossistema chinês de hackers mercenários. A empresa cobrava entre US$ 10.000 e US$ 75.000 por cada conta de e-mail invadida com sucesso. Em muitos casos, a empresa executava ataques sob ordem do MSS ou do MPS, incluindo a repressão cibernética transnacional. Em outros casos, a i-Soon invadia sistemas por conta própria e vendia os dados roubados para ao menos 43 diferentes escritórios do MSS ou MPS em 31 províncias e municípios da China.

Entre os alvos dos ataques estavam uma grande organização religiosa nos EUA, críticos e dissidentes do governo chinês, um órgão legislativo estadual, agências governamentais dos EUA, ministérios de relações exteriores de diversos países da Ásia e organizações de notícias.

Uma recompensa adicional de até US$ 2 milhões foi anunciada para informações que levem à prisão de Shuai e Kecheng, acusados de participar de uma conspiração hacker sofisticada desde 2011 para invadir empresas, governos municipais e organizações nos EUA, roubando dados através do malware PlugX. Shuai também teria atuado como corretor de dados, vendendo informações roubadas para clientes ligados ao governo e às forças armadas chinesas.

Em resposta aos ataques, o DoJ também anunciou a apreensão de quatro domínios usados pela i-Soon e pelo APT27: ecoatmosphere.org, newyorker.cloud, heidrickjobs.com e maddmail.site. Segundo o DoJ, os alvos da i-Soon eram de interesse do governo chinês por criticarem o Partido Comunista da China ou por representarem ameaças ao regime.

A i-Soon também treinava funcionários do MPS para realizar ataques independentemente da empresa e oferecia ferramentas avançadas de hacking, incluindo a plataforma "Automated Penetration Testing Platform" para envio de e-mails de phishing e clonagem de sites. Outra ferramenta era a "Divine Mathematician Password Cracking Platform", usada para hackear serviços online como Microsoft Outlook, Gmail e X (antigo Twitter).

Essa última ferramenta permitia acessar contas do X sem senha, contornando a autenticação multifator e possibilitando publicações e interações automáticas. O objetivo era monitorar a opinião pública fora da China e manipular a narrativa global.

"As acusações anunciadas hoje expõem as tentativas contínuas da China de espionar e silenciar qualquer um que represente uma ameaça ao Partido Comunista Chinês", afirmou Leslie R. Backschies, diretora interina do FBI. "O governo chinês tentou ocultar seus ataques usando uma empresa privada, mas suas ações configuram anos de hacking patrocinado pelo Estado contra organizações religiosas, veículos de mídia e agências governamentais em diversos países, além de dissidentes ao redor do mundo."

Via - THN