Hammer ataca hackers acusados ​​de atacar fabricantes de jogos e software

18

Prolongar / O selo do Departamento de Justiça foi visto durante uma entrevista coletiva em dezembro de 2019.

Por mais de uma década, hackers que trabalham em nome do governo chinês perseguiram descaradamente invasões cibernéticas avançadas em empresas de tecnologia, com um foco particular naqueles que comercializam software, como CCleaner, jogos de RPG, e outros tipos de jogos. Na quarta-feira, as autoridades americanas responderam, acusando sete homens supostamente apoiados pelo governo chinês por realizar uma série de invasões com motivação financeira em mais de 100 organizações americanas e estrangeiras.

Promotores americanos disseram que os homens visavam empresas de tecnologia com o objetivo de roubar certificados de assinatura de software, dados de contas de clientes e informações comerciais valiosas, tudo com a aprovação tácita do governo chinês. Trabalhando para empresas de fachada localizadas na China, os réus supostamente usaram as intrusões em fabricantes de jogos e software para lavagem de dinheiro, roubo de identidade, fraude em dispositivos de acesso e transferência eletrônica e para facilitar outros esquemas criminais, como ransomware e esquemas de criptojack.

Proteção legal

De acordo com uma das três acusações aberto na quarta-feira, o réu Jiang Lizhi se gabou de suas conexões com o Ministério de Segurança do Estado da China e alegou que este lhe dava proteção legal "a menos que algo muito grande aconteça". O sócio comercial de Jiang, Qian Chuan, supostamente passou os últimos 10 anos apoiando projetos do governo chinês, incluindo o desenvolvimento de uma ferramenta de limpeza segura para limpar dados confidenciais da mídia digital.

Junto com um terceiro homem, Fu Qiang, os homens trabalhavam e eram diretores de uma empresa com sede na China chamada Chengdu 404 Network Technology Co. Ltd. A empresa se descrevia publicamente como uma empresa de segurança de rede, composta de hackers de chapéu branco de elite que forneceu teste de penetração, recuperação de senha, análise forense de dispositivo móvel e outros serviços defensivos. O site do Chengdu 404 disse que os clientes incluem "empresas de segurança pública, militares e militares". A recepção da empresa é mostrada abaixo.

Departamento de Justiça

“No entanto, além de qualquer suposto 'chapéu branco' ou serviços de segurança de rede defensiva que forneceu, o Chengdu 404 também foi responsável por operações de segurança de rede 'ofensivas'”, escreveram os promotores. "Isso quer dizer que os funcionários e oficiais do Chengdu 404, incluindo Jiang, Qian e Fu, cometeram e conspiraram para cometer crimes de invasão de computador que visam redes de computador em todo o mundo, incluindo, e conforme descrito aqui, mais de 100 empresas e organizações vítimas e indivíduos nos Estados Unidos e em todo o mundo, incluindo na Coreia do Sul, Japão, Índia, Taiwan, Hong Kong, Malásia, Vietnã, Paquistão, Austrália, Reino Unido, Chile, Indonésia, Cingapura e Tailândia. ”

Dois outros homens, Zhang Haoran, 35, e Tan Dailin, 35, supostamente participaram de uma “conspiração de hacking de computadores” que visava empresas de tecnologia em um esquema para lavagem de dinheiro, roubo de identidades e fraude eletrônica. Os promotores disseram em um segunda acusação que os homens participaram de uma “conspiração de videogame” com o objetivo de hackear empresas de videogame e obter moeda de jogo ou outros dados de valor e vendê-los com lucro. Os homens também usaram esses hacks para perseguir intrusões cibernéticas em alvos não relacionados, disse a acusação.

Crooks e espiões se unem

Os cinco réus – junto com dois cidadãos malaios, Wong Ong Hua, 46, e Ling Yang Ching, 32, citados em um terceira acusação– foram rastreados usando dados de pesquisa no APT41, abreviação de ameaça persistente avançada nº 41. O grupo, que os pesquisadores dizem ter laços estreitos com os programas de espionagem do governo chinês, tem muitos outros nomes, incluindo Winnti, Barium, Wicked Panda e Wicked Aranha.

Ao analisar servidores de comando, ferramentas de ataque e outros dados pertencentes ao grupo, os pesquisadores determinaram que ele estava por trás de uma série de violações de alto perfil, incluindo os ataques à cadeia de abastecimento de 2017 e 2019 em CCleaner e Asus que semeou suas atualizações com malware. No início deste ano, a empresa de segurança Eset disse, o grupo estava por trás de hacks em vários fabricantes de jogos. Embora os pesquisadores da empresa não tenham identificado os alvos, eles disseram que os hacks usaram certificados de assinatura roubados da Nfinity Games durante um hack de 2018 daquele desenvolvedor de jogos.

As acusações de quarta-feira ilustram os papéis duplos desempenhados por alguns hackers que trabalham em cooperação com, ou em nome do governo chinês. Em troca de hackers fornecerem ao governo dados de espionagem que ajudam a rastrear dissidentes ou organizações de interesse ou roubam propriedade intelectual, o governo concorda em fechar os olhos aos ataques motivados por dinheiro contra empresas não afiliadas aos interesses nacionais chineses. A empresa de segurança Mandiant, que acompanha de perto o APT41 há anos, publicou este relatório detalhado ano passado.

Em um e-mail enviado na quarta-feira, o diretor sênior de análise da Mandiant, John Hultquist, resumiu o relacionamento da seguinte maneira:

APT41 esteve envolvido em vários incidentes de cadeia de suprimentos de alto perfil que muitas vezes combinaram seu interesse criminoso em videogames com as operações de espionagem que estavam realizando em nome do estado. Por exemplo, eles comprometeram distribuidores de videogame para proliferar malware que poderia então ser usado para operações de acompanhamento. Eles também foram conectados a incidentes bem conhecidos envolvendo atualizações do Netsarang e ASUS.

Nos últimos anos, eles têm se concentrado fortemente nos setores de telecomunicações, viagens e hotelaria, que acreditamos serem tentativas de identificar, monitorar e rastrear indivíduos de interesse, operações que podem ter consequências graves, até mesmo físicas, para algumas vítimas. Eles também participaram de esforços para monitorar Hong Kong durante recentes protestos contra a democracia.

Embora grande parte do roubo de propriedade intelectual relacionado a esse ator tenha diminuído em favor de outras operações nos últimos anos, eles continuaram a visar instituições médicas, sugerindo que ainda podem ter interesse em tecnologia médica.

Os serviços de inteligência alavancam criminosos como o APT41 para seus próprios fins porque são uma capacidade expedita, econômica e negável. As operações criminosas da APT41 parecem ser anteriores ao trabalho que fazem em nome do estado e podem ter sido cooptadas por um serviço de segurança que teria influência significativa sobre elas. Em situações como essa, uma barganha pode ser alcançada entre o serviço de segurança e as operadoras, em que as operadoras desfrutam de proteção em troca de oferecer talento de ponta para o serviço. Além disso, o serviço goza de uma medida de negabilidade quando as operadoras são identificadas. Indiscutivelmente, esse é o caso agora.

O martelo cai

Wong e Ling foram presos na segunda-feira. Os demais réus provavelmente não serão apreendidos, desde que permaneçam na China ou em outros países que não tenham tratados de extradição com os Estados Unidos. Ainda assim, os mandados de prisão significam que eles não podem viajar muito pelo mundo sem correr o risco de serem detidos e julgados por seus alegados crimes.

Além das prisões e mandados de prisão, o governo federal apreendeu neste mês centenas de contas, servidores, nomes de domínio e páginas da Web com armadilhas eletrônicas que os réus supostamente usaram para conduzir suas intrusões. A Microsoft desempenhou um papel significativo em derrubar as operações, implementando medidas técnicas que os impediram de acessar os computadores das vítimas. Várias outras empresas que não foram identificadas também forneceram assistência desativando contas controladas por invasores por violações de seus termos de serviço.

Duas das marcas do APT41 são suas habilidades organizacionais e a capacidade de usar efetivamente exploits de software para obter acesso não autorizado a redes específicas. A capacidade de roubar certificados de assinatura de uma vítima e usá-los para atacar novos alvos é um exemplo do primeiro. Seu talento no uso de façanhas nasce da amplitude de façanhas que os promotores demonstraram nas acusações de quarta-feira. Seis deles – indexados como CVE-2019-19781, CVE-2019-11510, CVE-2019-16920, CVE-2019-16278, CVE-2019-1652, e CVE-2019-10189– direcionou um conjunto diversificado de produtos, de VPNs de rede a software de servidor da Web e dispositivos da Internet das coisas. Muitos desses dispositivos permanecem sem patch semanas ou até meses após as atualizações estarem disponíveis.

Mencionamos o Irã?

A revelação das acusações ocorreu um dia depois que promotores federais entraram com uma acusação contra dois cidadãos iranianos também acusados ​​de hackear redes americanas e roubar dados de ambos. lucrar financeiramente e apoiar o governo iraniano. Essa ação aconteceu ao mesmo tempo em que os promotores revelaram uma acusação que acusava dois russos de se envolverem em um Criptomoeda de $ 17 milhões de phishing.

Membros das indústrias de segurança e aplicação da lei continuam a debater o quão significantes são as ações de quarta-feira, contra os supostos hackers APT41. Os réus que permanecem foragidos provavelmente não irão restringir suas alegadas operações, e o APT41 provavelmente não precisará de muito tempo para reconstruir a infraestrutura que foi derrubada. Através desse prisma, é fácil ver o movimento como pouco mais do que um jogo de bater na toupeira.

O contra-argumento é que a aplicação da lei e os setores privados estão melhorando em ataques coordenados que interrompem significativamente as operações, mesmo que apenas temporariamente. Além da interrupção, a ação também chama a atenção de funcionários do governo chinês e envia a mensagem de que a impunidade de que os hackers patrocinados pela China desfrutam não é absoluta.

Fonte: Ars Technica