Grupos de Ciber-Atacantes Estariam Correlacionados
Ao contrário de muitos outros relatos de "hacks" contra os EUA e empresas norte-americanas, as declarações da Mandiant foram concretas. A especialista relatou que, no curso das investigações realizadas desde 2006, a empresa identificou correlações notáveis entre o grupo de maior perfil de crackers chineses (ATP1) e Army Unit 61398. Dos cerca de 20 grupos conhecidos de crackers chineses, ATP1 se destaca por seu tamanho aparente, o volume de dados roubados, e o fato de que ele se concentra em metas econômicas. Também é por algumas vezes, referido como o "Comment Group" ou "Xangai Group".
Tanto o ATP1 quanto o Army Unit 61.398 são acusados de estar localizado em área nova de Pudong New Area, em Xangai. Há também, reivindica Mandiant, uma correlação estreita entre os alvos suspeitos de ataque, o tamanho aparente dos grupos, equipamentos, e o número de ataques. Desde 2006, a empresa de segurança observou 141 investidas contra cerca de 20 indústrias, todas elas realizadas pelo ATP1. O grupo atacou empresas de serviços públicos (incluindo fornecedores de electricidade), a RSA, e grandes empresas dos EUA, como a Coca-Cola, e todos os ataques desencadeados sempre envolveram o roubo de grandes volumes de dados.
Ao longo de um período de 10 meses, por exemplo, o grupo roubou até 6.5TB de dados a partir de uma única empresa. Em média, os crackers mantiveram o acesso às redes das vítimas por quase um ano, em um caso por quase cinco anos.
Na sequência dos acontecimentos, ao traçar o desenrolar desses ataques, a Mandiant descobriu que o ATP1 tinha operado quase 1000 servidores de comando-e-controle ao longo dos últimos dois anos e que a maioria dos endereços IP usados foram registrados por organizações chinesas. Além disso, 97 por cento dos ataques foram originados a partir de computadores em que a configuração de idioma foi definida como "chinês". Ainda de acordo com a Mandiant, o grupo é composto por pelo menos algumas dezenas, ou provavelmente, centenas de pessoas, entre programadores de malware, especialistas do setor e tradutores.
Operações Diversificadas e Disseminação de Malware
Os crackers têm acesso a até 40 famílias de malware diferentes para suas operações. Duas das ferramentas utilizadas para desempenhar as atividades criminosas - getmail e MAPIGET - foram exclusivamente utilizadas por este grupo. A constatação mais importante feita pela Mandiant, no entanto, é que tem sido possível rastrear todas as operações realizadas pela ATP1 relacionadas às quatro redes grandes situadas em Xangai. Duas dessas redes estão localizadas em New Area Pudong, sendo equipadas com infraestrutura de comunicações de fibra ótica pela China Telecom, em nome da defesa nacional.
De acordo com a Mandiant, esta também é a localização exata do Unit 61398 da People's Liberation Army (PLA), cuja missão também inclui espionagem industrial e recrutamento de pessoal com habilidades semelhantes às que seriam necessárias por um grupo de crackers - o pessoal em questão deve ter habilidades para falar Inglês fluentemente e receber treinamento adequado em Segurança da Informação. No decorrer de sua análise, a Mandiant identificou três indivíduos, que else chamam de "UglyGorilla", "DOTA" e "superhard", que fizeram declarações, em alguns casos, antes de 2004, indicando que estivessem envolvidos com "cyber-troops" patrocinadas pelo estado.
Ciber-Ataques Estariam Sendo Realizados Sob Ordens Governamentais
O governo chinês negou apoio a grupos de crackers de apoio e pontos que também é alvo de ataques cibernéticos. Com base nas suas investigações, a Mandiant está, no entanto, confiante de que de fato o ATP1 e o Unit 61398 estão realmente operando em nome do governo. Além disso, a especialista acredita que é extremamente difícil encontrar uma explicação alternativa para como um grupo grande e bem equipado de crackers seria capaz de operar "sem que houvesse o apoio do governo". A empresa, no entanto, admite que é possível também que exista um segredo, que um conglomerado de recursos esteja envolvido nessas ações e que realmente haja uma grande suporte a esta campanha de espionagem em escala empresarial. O relatório deixa claro, porém, que seria uma coincidência espantosa.
Sobre a Madiant
Para quem não conhece, a Mandiant é uma conhecida empresa de segurança nos EUA e uma especialista em computação forense (análise de invasões em Infraestrutura de TI). Vale destacar que ela já foi, por exemplo, contratada pelo The New York Times, quando identificou atividades incomuns em sua rede. Na sequência, a empresa revelou que crackers chineses também foram responsáveis por esse ataque. O presente relatório tem, no entanto, eximido o ATP1 nesse incidente, afirmando que não foi o responsável pelo ataque contra o New York Times.
Saiba Mais:
[1] Heise On-line http://www.h-online.com/security/new...t-1806158.html