Pesquisadores da empresa de cibersegurança Resecurity localizaram uma plataforma de armazenamento com cinco gigabytes de dados roubados, durante três anos e meio, de ministérios estrangeiros e empresas de energia. Os dados foram hackeados a partir dos servidores Microsoft Exchange locais, com informações de e-mails de seis ministérios estrangeiros e oito empresas de energia no Oriente Médio, Ásia e Europa Oriental, de acordo com publicação da Bloomberg.
Os pesquisadores encontraram na nuvem os dados roubados em 2020 enquanto investigavam o hack de um varejista italiano, no entanto a informação só veio à público nesta semana. Eles acreditam que o hack serviu de base para os ataques amplamente divulgados entre janeiro e março de 2021, com a infecção via malware de 60.000 vítimas globais.
Segundo uma fonte familiarizada com a investigação dos ataques de 2021, e que pediu anonimato, o roubo de dados descoberto pelo Resecurity em 2020 seguiu os mesmos métodos daquele realizado neste ano.
O ataque cibernético de 2021 foi relacionado pela Microsoft a um grupo de hackers patrocinados pelo Estado chinês, chamado Hafnium. Estados Unidos, Reino Unido e aliados fizeram uma afirmação semelhante no mês passado, atribuindo-a a hackers afiliados ao governo chinês. Embora a Resercurity não confirme que os ataques descobertos tenham partido do mesmo grupo, Gene Yoo, diretor executivo da Resecurity, disse que o cache de documentos continha informações que seriam do interesse do governo chinês.
A fonte anônima do Bloomberg disse que as vítimas selecionadas pelos hackers e o tipo de inteligência coletada pelos atacantes também apontavam para uma operação chinesa.
“A China se opõe firmemente a qualquer forma de ataque ou infiltração online. Esta é a nossa postura clara e consistente”, contrapôs o Ministério das Relações Exteriores em comunicado enviado por mensagem. “As leis chinesas relevantes sobre coleta e manuseio de dados protegem claramente a segurança dos dados e se opõem fortemente a ataques cibernéticos e outras atividades criminosas”.
Outros pesquisadores de segurança cibernética alertaram que os ataques poderiam ter sido realizados por qualquer número de nações interessadas na diplomacia do Oriente Médio e nas comunicações internas de empresas de energia influentes, diz a publicação.
A publicação destaca que as campanhas de hackers ressaltam como as falhas nos populares servidores de e-mail locais da Microsoft, que são controlados pelos clientes que usam esses sistemas, atuaram durante anos como uma chave-esqueleto para os hackers desbloquearem dados confidenciais do governo e empresas privadas.
Jeff Jones, porta-voz da Microsoft Corp., disse em um comunicado que “muitos atores de estado-nação” visam os sistemas de e-mail para obter informações confidenciais. Jones pontuou também que as equipes de segurança da Microsoft estão “trabalhando constantemente com nossos parceiros de segurança” para identificar novas vulnerabilidades que possam ser usadas em ataques futuros.
A Microsoft está rastreando o grupo Hafnium desde abril de 2020, incluindo a coleta de dados sobre suas operações de espionagem cibernética, com foco no roubo de dados, disse Jones. Desde então, a unidade de inteligência de ameaças da Microsoft rastreou várias campanhas da Hafnium e notificou os países que foram vítimas dos ataques, de acordo com Jones, que não identificou os países.
De acordo com a Resecurity e uma revisão da Bloomberg News dos dados roubados, os hackers roubaram documentos e e-mails, contendo informações pessoais e confidenciais, de ministérios de relações exteriores no Bahrein, Iraque, Turquia, Omã, Egito e Jordânia – e e-mail e dados de oito empresas de energia, incluindo a gigante do petróleo e gás da Malásia, Petronas Nasional Bhd, e a Hindustan Petroleum Corp., da Índia, entre uma série de violações que ocorreram entre 2017 e 2020.
A Resecurity informou que os invasores também comprometeram, além de empresas de energia, serviços públicos e instalações de pesquisa, em sua maioria estatais, cobrindo regiões que vão do Leste Europeu ao Sudeste Asiático.
No ataque massivo ocorrido no primeiro semestre deste ano, os hackers descobriram uma série de vulnerabilidades de “dia zero” no sistema de e-mail do Microsoft Exchange e as usaram para explorar dezenas de milhares de vítimas globalmente. Embora a expansão do ataque não tenha precedentes, relativamente poucos dos clientes do Exchange que foram infectados com malware foram então alvos de ataques mais invasivos, como roubo de dados ou ransomware, disse a Microsoft em um blog.
A reportagem do Bloomberg aponta que não está claro como os hackers por trás dos ataques anteriores a ministérios estrangeiros e empresas de energia se infiltraram nas redes. No entanto, os dois ataques foram quase idênticos. Os hackers instalaram web shells nas redes das vítimas que lhes permitiam acessar remotamente a página de login interna de cada servidor. Os invasores então usaram um software de código aberto chamado Mimikatz (e uma versão modificada do Mimikatz) para roubar senhas e estabelecer uma conexão dentro da rede, explicou a publicação.
Esses métodos de ataque genéricos permitem que os hackers ocultem seus rastros e se tornaram uma assinatura de grupos de hackers do governo, incluindo alguns afiliados ao governo chinês, disse Ben Read, Diretor de Análise de Espionagem Cibernética da empresa de segurança cibernética Mandiant, ao Bloomberg.
A empresa de pesquisa de segurança Cybereason Inc. publicou suas próprias alegações sobre hackers chineses nesta semana. A empresa alegou que pelo menos cinco gigantes das telecomunicações foram visados por hackers chineses apoiados pelo estado em uma operação que também data de 2017, diz a publicação. Os grupos de hackers roubaram registros telefônicos e dados de geolocalização explorando sistemas, incluindo servidores Microsoft Exchange, de acordo com um relatório publicado em agosto 3.
O Ministério das Relações Exteriores da China disse que o relatório “exagera rumores políticos” criados pelos EUA e seus aliados e é “fabricado do nada”, finaliza a reportagem.
(Com informações de Bloomberg)
