A China identificou o pessoal da Agência de Segurança Nacional dos Estados Unidos (NSA, da sigla em inglês) responsável pelos ciberataques à Universidade Politécnica do Noroeste da China.
Esse envolvimento de funcionários da NSA foi revelado durante a análise de um programa espião pelo Centro de Resposta de Emergência de Vírus de Computador Nacional da China (CVERC, da sigla em inglês), em colaboração com a empresa de segurança na internet 360. As informações foram divulgadas pelo Grupo de Mídia da China (CMG) nesta quinta-feira (14).
Te podría interesar
Programa espião
De acordo com a análise, o programa espião, apelidado de SecondDate, é uma ferramenta de ciberespionagem desenvolvida pela NSA.
Esse instrumento é capaz de realizar atividades maliciosas, como espionagem e interceptação do tráfego de rede, ataques de homem-no-meio e inserção de código malicioso. Quando combinado com outro malware, pode facilitar atividades complexas de espionagem em redes.
Te podría interesar
Durante a investigação do ciberataque, o CVERC conseguiu extrair com sucesso múltiplas amostras do programa espião e identificar o pessoal da NSA por trás da operação de espionagem cibernética.
O SecondDate é uma ferramenta de ciberespionagem altamente sofisticada que permite aos atacantes assumir o controle total dos dispositivos de rede direcionados e do tráfego de rede que passa por esses dispositivos, explicou Du Zhenhua, engenheiro sênior do CVERC.
Isso permite o roubo de dados a longo prazo de hosts e usuários na rede alvo e, ao mesmo tempo, serve como uma 'base avançada' para a próxima etapa de ataques, permitindo que mais armas de ciberataque sejam entregues na rede alvo a qualquer momento.
O programa espião pode ser amplamente aplicado, pois suporta vários sistemas operacionais, incluindo Linux, FreeBSD, Solaris e JunOS, e é compatível com uma ampla gama de arquiteturas.
Normalmente, é usado juntamente com várias ferramentas da NSA's Office of Tailored Access Operation (TAO) para explorar vulnerabilidades em dispositivos de rede, como firewalls e roteadores, explicou Du. "Uma vez que um ataque de vulnerabilidade é bem-sucedido, o invasor obtém o controle sobre o dispositivo alvo e pode implantar o software de ciberespionagem no alvo."
O relatório revela que o programa espião SecondDate e suas versões derivadas continuam operando secretamente em milhares de dispositivos de rede em diversos países. Ele também revela servidores intermediários controlados remotamente pela NSA, a maioria localizada na Alemanha, Japão, Coreia do Sul, Índia e na região de Taiwan da China.
Com os esforços coordenados de parceiros da indústria de diversos países, nossa investigação conjunta alcançou um avanço. A verdadeira identidade do pessoal da NSA que lançou o ciberataque contra a Universidade Politécnica do Noroeste da China foi identificada com sucesso.
Entenda o ataque
Em 22 de junho deste ano, a universidade chinesa, líder em estudos de aviação, aeroespacial e navegação, anunciou que hackers do exterior foram pegos enviando e-mails de phishing com programas cavalo de Troia para professores e estudantes da universidade, na tentativa de roubar seus dados e informações pessoais.
Posteriormente, os ciberataques foram rastreados até o TAO, que usou 41 ferramentas para contornar os firewalls, implantar portas de entrada controladas remotamente, roubar dados críticos e apagar os vestígios de sua ação.
Com informações da CGTN