A empresa norte-americana de segurança cibernética FireEye revelou que o grupo chinês de hackers APT41, apoiado pelo regime chinês, comprometeu várias das principais empresas de telecomunicações ao obter históricos de chamadas telefônicas de clientes considerados alvos, interceptando mensagens de texto e registros de chamadas de todo o mundo.
O relatório não faz menção às empresas atacadas. Os hackers pesquisaram os registros de chamadas e mensagens de texto em busca de palavras-chave específicas, incluindo nomes de alvos de «alto valor», como nomes de políticos, organizações de inteligência e movimentos político» em desacordo com o governo chinês», segundo o relatório.
Não é a primeira vez que hackers chineses patrocinados pelo Partido Comunista Chinês (PCC) interceptam mensagens de texto de telefones celulares internacionais. A empresa de cibersegurança norte-americana Cybereason publicou um relatório em 25 de junho no qual analisou como o grupo APT10 realizou ataques persistentes contra provedores globais de telecomunicações desde 2017. A Cybereason concluiu que o APT10 opera «em nome do Ministério de Segurança da China», a principal agência de inteligência do PCC. O objetivo era obter registros dos detalhes da ligação, incluindo a hora e a duração da ligação, os números de telefone envolvidos e a localização geográfica.
Em 31 de outubro, o FireEye publicou uma investigação sobre segurança de mensagens de texto, focando na nova ferramenta que o grupo APT41 estava usando: um malware chamado MESSAGETAP, para interceptar mensagens de texto de pessoas em todo o mundo.
As mensagens de texto também são chamadas de mensagens SMS (serviço de mensagens curtas), que se referem a mensagens simples enviadas e recebidas com telefones celulares.
O relatório explica que os hackers do APT41 instalaram o MESSAGETAP nos servidores do SMSC (Short Message Service Center) dos operadores de telecomunicações selecionados como destinos. O malware pode monitorar todas as conexões de rede de e para o servidor.
MESSAGETAP pode interceptar todo o tráfego de mensagens SMS, incluindo o conteúdo das mensagens; os códigos de identificação exclusivos de telefones celulares, conhecidos como número internacional de identificação de assinante de celular (IMSI); e os números de telefone de origem e destino.
Além disso, os hackers podem configurar palavras-chave no MESSAGETAP, permitindo que o malware filtre conteúdo específico.
Durante a investigação, o FireEye descobriu que os hackers procuraram por palavras-chave como nomes de «indivíduos estrangeiros de alto escalão de interesse para os serviços de inteligência chineses», bem como líderes políticos, organizações militares e de inteligência e movimentos políticos.
A FireEye disse que observou que quatro empresas de telecomunicações foram atacadas pelo grupo APT41 em 2019.
Objetivos do APT41
A FireEye publicou um relatório completo sobre o APT41 em agosto, intitulado «Double Dragon: APT41, uma operação dupla de espionagem e crimes contra computadores».
«Duplo» refere-se ao fato de «o APT41 ser um grupo de espionagem patrocinado pelo Estado chinês que desde 2012 também realiza atividades por razões econômicas para ganho pessoal». Ele não forneceu mais detalhes sobre quem contratou os serviços do APT41.
No entanto, surgiu um certo padrão: «O APT41 tem como alvo as indústrias de maneira geralmente alinhada aos planos de desenvolvimento econômico de cinco anos da China» e ao plano de 10 anos de Pequim «Made in China 2025», de acordo com o relatório.
O grupo hacker também coleta informações antes de eventos importantes, além de fusões e aquisições (de empresas) e eventos políticos.
«Made in China 2025», lançado pela primeira vez em 2015, é um plano econômico para a China se tornar a nação manufatureira dominante no mundo em 10 áreas principais de alta tecnologia, como produtos farmacêuticos, inteligência artificial e robótica
De acordo com o relatório, o APT41 tem como alvo o sistema de saúde (incluindo dispositivos médicos e diagnóstico), produtos farmacêuticos, varejo, empresas de software, telecomunicações, serviços de turismo, educação, videogames e criptomoedas.
A APT41 focou em empresas dos setores localizados nos Estados Unidos, Reino Unido, França, Itália, Holanda, Suíça, Turquia, Japão, Coreia do Sul, Cingapura, Índia, Myanmar, Tailândia e África do Sul.
Objetivo e ferramentas
A FireEye descobriu que o APT41 se concentra no roubo de propriedade intelectual em países selecionados como alvos. Mas, em meados de 2015, os hackers «avançaram em direção à coleta de inteligência estratégica e ao estabelecimento de acesso direto e saídas para roubo de propriedade intelectual».
O grupo de hackers usa «mais de 46 ferramentas e famílias de malware diferentes para realizar suas missões, incluindo serviços disponíveis ao público, malwares compartilhados com outras operações de espionagem chinesas e ferramentas exclusivas de grupo», segundo o relatório.
Para que uma empresa se proteja de possíveis ataques ao APT41, a FireEye alertou as empresas para não abrir emails desconhecidos: “O grupo (espionagem) geralmente é baseado em emails de phishing com anexos como HTML (.chm) compilados para cometer inicialmente suas vítimas ”.
*****
Assista também:
Mortos por órgãos
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.
