Espiões estrangeiros usam empresas de fachada para disfarçar seus hackers, pegando emprestada uma velha tática de camuflagem

Em setembro, as forças de segurança dos EUA acusaram hackers baseados no Irã e na China de conduzir operações de espionagem global, embora parecessem existir como empresas de tecnologia inócuas. Embora a natureza pública das acusações seja prova de que os esforços não foram totalmente bem-sucedidos, a tática marca uma evolução do uso de corporações fictícias, já que um grupo de golpistas financeiros roubou US $ 1 bilhão fingindo ser uma empresa de testes de segurança cibernética.

“Só fica mais difícil descobrir quem está fazendo o quê e quais são suas motivações”, disse John Demers, o procurador-geral assistente dos Estados Unidos para segurança nacional, sobre a aparente motivação em uma entrevista recente.

“Para uma empresa que sofreu uma violação, isso pode confundir você no início”, disse ele. “Dito isso, acho que conseguimos atravessar esses véus … dessas empresas de fachada e conseguimos obter a atribuição. Mas permite alguma negação. ”

O Departamento de Justiça em 16 de setembro revelou uma acusação contra cinco homens chineses e dois cidadãos malaios por seu suposto papel em um esquema de espionagem de anos que infectou softwares incluindo Asus, CCleaner e Netsarang com malware.

Alguns suspeitos que trabalhavam como parte da operação maior funcionavam como parte do Chengdu 404, que se comercializava como uma empresa de testes de penetração com um “espírito patriótico”, afirma uma acusação .

Enquanto anunciava testes de hacking ofensivos, o Chengdu 404 usou phishing e outros meios para violar mais de 100 organizações nos EUA, Coreia do Sul, Japão e outros países, de acordo com as acusações. Os hackers explorariam seu acesso para roubar código-fonte, certificados de assinatura de software e informações de identificação pessoal em nome de Pequim, enquanto coletam dinheiro para si próprios. (As empresas de segurança vincularam a atividade à APT41 , uma unidade de ciberespionagem chinesa suspeita de estar conectada ao Ministério da Segurança do Estado.)

Analistas de inteligência afirmam que o governo chinês começou a terceirizar o trabalho de espionagem cibernética para empresas indefinidas após um acordo de 2014 no qual os EUA e a China concordaram em não patrocinar nenhuma atividade cibernética maliciosa para obter ganhos econômicos.

“Na China, nem todas essas empresas são ‘empresas de fachada’ no sentido estrito em que foram estabelecidas por agências de inteligência para esconder seu envolvimento”, disse Timo Steffens, pesquisador e autor de “Atribuição de Ameaças Persistentes Avançadas”, disse em um Mensagem do Twitter.

“O cenário da APT na China é executado em uma abordagem de ‘país inteiro’, aproveitando as habilidades de universidades, indivíduos e setores público e privado”, disse ele. “Portanto, algumas das empresas menores podem ser apenas uma forma de os hackers individuais se unirem e se qualificarem para contratos governamentais”.

A publicação da acusação contra os supostos hackers chineses ocorreu um dia antes de o Departamento do Tesouro impor sanções contra 45 pessoas que diz estarem associadas a um grupo de hackers iraniano e a empresas de tecnologia que eles supostamente usaram para seu trabalho. Hackers patrocinados pelo Estado usaram a Rana Intelligence Computing Company para atingir dissidentes iranianos, jornalistas e empresas de viagens globais, disse o Tesouro .

Desde então, o FBI divulgou oito conjuntos de malware conectados a Rana, embora o bureau também tenha vinculado ao grupo ferramentas de teste de penetração de código aberto, como Metasploit e Mimikatz. Firmas de pen-test legítimas usam as mesmas ferramentas .

Uma história menos do que orgulhosa de hacks semelhantes

As táticas supostamente usadas por Chengdu 404 e pela empresa de tecnologia Rana surgiram anos depois de FIN7, uma notória gangue de crimes cibernéticos , usar o nome “Combi Security” para recrutar novos membros. O grupo supostamente roubou mais de US $ 1 bilhão de vítimas internacionais, incluindo como alvo mais de 100 empresas nos Estados Unidos

Os promotores americanos dizem que três ucranianos presos em 2018 alegaram operar a Combi Security como uma empresa legítima de testes de penetração. Em vez de realmente realizar testes, porém, a empresa invadiu terminais de ponto de venda, roubou informações de cartão de crédito e violou as principais cadeias de restaurantes e varejistas americanas.

Uma acusação contra o ex-administrador de TI da FIN7, Fedir Hladyr, incluiu alegações de que ele supervisionou ferramentas de rastreamento de projetos destinadas a fornecer atualizações de status sobre vários esforços da “empresa”. Em vez de exigir que os subordinados cumpram as metas de vendas, entretanto, Hladyr instruiu os subordinados a adicionar código malicioso, dados de pagamento roubados e capturas de tela de empresas violadas. (Ele se declarou culpado em 2019.)

Nem todos os funcionários da Combi Security pareciam saber que estavam ajudando um grupo prolífico de golpistas, dizem agora os pesquisadores de segurança. Empresas como FireEye e Kaspersky encontraram listas de empregos arquivadas associadas ao Combi Security. É uma tática que teria permitido à Combi Security explorar um pool de talentos cibernéticos que, de outra forma, estaria reservado para empresas legítimas, disse Kimberly Goody, gerente sênior de análise de crimes cibernéticos da FireEye.

“Os criminosos precisam de mais operadores para implantar ferramentas contra mais vítimas”, disse ela. “Eles podem usar estudantes universitários, ou os equivalentes estrangeiros do LinkedIn ou do Even, e podem procurar pessoas que postaram currículos. Então, eles podem fazer com que acreditem que estão trabalhando para uma empresa legítima e talvez lhes pagar mais dinheiro ao longo do caminho. ”

Sean Lyngaas contribuiu com reportagem.

Fonte: https://www.cyberscoop.com/chinese-iranian-hackers-front-companies/