A empresa de segurança Check Point divulgou um relatório técnico apontando que hackers chineses obtiveram uma ferramenta de ataque secreta desenvolvida por um grupo de ciberespiões do governo dos Estados Unidos, clonaram a funcionalidade do software e então o utilizaram em suas próprias invasões.

Segundo os especialistas, o coletivo de hackers chineses, identificado pelos codinomes “APT31” e “Zirconium”, começou a explorar uma vulnerabilidade no Windows em 2015. As características desse código de ataque, que recebeu o nome de “Jian” indicam que os invasores basearam o programa no “EpMe”, uma ferramenta do grupo de ciberespiões “Equation”.

Embora não haja confirmação oficial, o Equation é vinculado ao governo norte-americano. A conexão foi estabelecida quando o aparato do grupo vazou na internet entre 2016 e 2017, permitindo que pesquisadores identificassem semelhanças com a documentação técnica revelada por Edward Snowden, que foi colaborador da Agência de Segurança Nacional (NSA).

Snowden, porém, não foi o responsável pelo vazamento dos programas. Eles foram colocados na web por uma facção de origem desconhecida chamada “Shadow Brokers”. Alguns especialistas especularam que o vazamento foi uma operação russa para constranger as autoridades americanas, mas os “Shadow Brokers” tiveram uma atuação breve e específica, o que dificulta sua associação com qualquer grupo conhecido de invasores.

A utilização do código de ataque chinês “Jian” em 2015, antes desse vazamento do Shadow Brokers, levanta a possibilidade de que a ferramenta de ataque “EpMe” do Equation já tinha sido obtida por outros hackers antes do pacote completo ser publicado na internet. Em outras palavras, é possível que dois grupos diferentes tenham obtido acesso indevido aos programas de ataque do Equation.

O “EpMe” faz parte de um conjunto de ataque chamado de “DanderSpritz”. Ele é utilizado para burlar as restrições de acesso em sistemas Windows, garantindo o controle total do computador mesmo quando a invasão só obteve acesso limitado ao alvo.

A brecha foi corrigida pela Microsoft em 2017 após ser comunicada do problema pela Lockheed Martin, uma importante fornecedora do complexo militar-industrial norte-americano.

Não se sabe como os hackers do Zirconium obtiveram o acesso à EpMe para clonar a ferramenta. A Check Point levantou três hipóteses:

  1. O código foi capturado pelo Zirconium durante uma operação do grupo Equation contra um alvo chinês (esta hipótese supõe que os hackers do Zirconium tiveram acesso à investigação do ataque do alvo na China).
  2. O código foi capturado durante uma operação do Equation contra algum outro alvo que também estava sendo monitorado pelo Zirconium, ou seja, ambos os grupos tiveram um alvo em comum, o que levou ambos a visualizarem a atividade um do outro.
  3. Os hackers chineses atacaram a infraestrutura usada pelo Equation, o que permitiu o roubo direto dos programas. Este caso não seria único: acredita-se que os Shadow Brokers tenham obtido as ferramentas do Equation dessa forma.

 

Códigos de ataque governamentais

 

A clonagem do código do Equation é um exemplo de como programas de ataque desenvolvidos para operações de espionagem podem sair do controle dos seus operadores. Mas não é a primeira vez que o Equation contribui, sem querer, com outros grupos de ciberespiões.

O vazamento das ferramentas do Equation realizado pelo “Shadow Brokers” também fez parte da epidemia do vírus de resgate WannaCry em 2017. Um dos programas no pacote explorava uma brecha grave no Windows e foi aproveitado para a criação do WannaCry, sendo determinante para que o vírus atingisse centenas de milhares de computadores.

A brecha explorada pelo programa foi mantido em segredo até um mês antes da divulgação das ferramentas do Equation, o que encurtou o prazo que administradores e usuários tiveram para aplicar a correção e imunizar seus sistemas contra o ataque.

No caso da EpMe, o Equation teria começado a usar a ferramenta em 2014. A falha permaneceu desconhecida do público até 2017, quando a Microsoft criou uma atualização para imunizar o Windows. Nesse intervalo, o grupo chinês Zirconium teria pegado carona no código e iniciado seus próprios ataques em 2015.

Ainda que não seja possível saber quem foi atacado pelo grupo APT31, a pesquisa da Check Point aponta que havia pelo menos dois grupos de hackers explorando a mesma brecha – e nenhum deles comunicou o problema à Microsoft.

 

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

14 − onze =