Na última semana, a administração de Joe Biden, atual presidente dos Estados Unidos, anunciou uma acusação criminal e sanções contra um grupo de hackers chineses por seu suposto papel na realização de ataques contra empresas nos EUA, e funcionários do governo. O governo local acusou sete hackers, do grupo conhecido como APT31.
Em uma medida relacionada, o governo britânico anunciou sanções contra uma empresa de fachada, bem como duas pessoas em conexão com uma violação na Comissão Eleitoral do Reino Unido. O governo dos EUA observou que o grupo passou cerca de 14 anos mirando empresas nacionais, estrangeiras e autoridades políticas.
Os especialistas da Check Point Software analisaram tais ataques. “Os governos do Reino Unido e dos EUA acabam de anunciar ações contra o APT31, um grupo de hackers chinês com foco em ciberespionagem de estado”, diz Sergey Shykevich, gerente de Inteligência de Ameaças da Check Point Research (CPR).
“No Reino Unido, o APT31 realizou reconhecimento contra vários membros do Parlamento, enquanto o grupo afiliado chinês também comprometeu os sistemas na Comissão Eleitoral do Reino Unido e registros de 40 milhões de seus eleitores. Nos EUA, os hackers de estado enviaram mais de 10 mil e-mails maliciosos para jornalistas, políticos e empresas com o objetivo de comprometer instituições governamentais, roubar segredos comerciais e reprimir críticos do governo chinês”, relata Shykevich.
De acordo com Shykevich, as sanções parecem ser uma ação coordenada entre os governos do Reino Unido e dos EUA para enviar uma mensagem à China de que eles não tolerarão tais intrusões. É importante observar que o APT31 está ativo há anos e lançou muitas campanhas de hacking ao redor do mundo.
À medida que as ameaças cibernéticas crescem e os atores de ameaças se tornam mais sofisticados, será cada vez mais importante para os governos colaborarem para prevenir ameaças e agir contra os atacantes. “A equipe de pesquisadores da Check Point Research escreveu extensivamente sobre o APT31, incluindo uma análise detalhada de como o grupo usou ataques de dia zero. O grupo é supostamente dirigido pelo Ministério da Segurança do Estado da China, mirando pessoas no Reino Unido, EUA e União Europeia por mais de uma década. A China negou as acusações”, relata Shykevich.
O APT31 foi vinculado a vários ataques de alto perfil, incluindo um ataque ao servidor Microsoft Exchange no Reino Unido que o governo britânico diz ter comprometido dezenas de milhares de computadores. “Diante da ação proposta do vice-primeiro-ministro contra Pequim, o foco do governo na ciberespionagem de estado nunca foi tão evidente”, diz Muhammad Yahya Patel, líder em engenharia de segurança e membro do Office of the CTO na Check Point Software.
“Politicamente, a atribuição da violação da Comissão Eleitoral do Reino Unido à China sinaliza um momento crucial nas relações diplomáticas. Embora seja importante ser transparente sobre as ameaças potenciais à segurança nacional e ao processo democrático, precisamos estar atentos à mensagem que isso poderia enviar a outros estados autoritários sobre a postura de cibersegurança do Reino Unido. Espero que as lições aprendidas com este incidente signifiquem que o governo do Reino Unido abordará a falta de medidas preventivas que poderiam ter fortalecido as defesas contra o ataque. Isso precisa estar em mente ao educar as organizações e abordar proativamente quaisquer lacunas ou vulnerabilidades para prevenir incidentes futuros”, ressalta Sergey Shykevich.
Shykevich explica que tanto o Reino Unido quanto os EUA alegaram que o APT31 usa técnicas tradicionais de phishing em seus ataques. Segundo o governo dos EUA, o APT31 utilizou links de rastreamento ocultos. Quando os usuários finais abriram esses e-mails, informações vitais como localização, dispositivo e endereços IP foram transmitidos de volta aos hackers.
Diante disso, e de outras campanhas direcionadas, os especialistas da Check Point Research recomendam que os profissionais de segurança implementem segurança com proteção de URL robusta para escanear e emular páginas da web antes de clicar; relatem imediatamente e-mails suspeitos e invistam em soluções antiphishing que ofereçam proteção abrangente contra tentativas de invasão.
