A autoridade de cibersegurança da China acaba de desmascarar mais uma farsa de Washington de que estaria envolvida em um ataque cibernético ocorrido há mais de um ano e que foi atribuído a um grupo batizado de Volt Typhoon.
Um relatório produzido pelo Centro Nacional de Resposta a Emergências de Vírus Computacionais da China (CVERC), entidade governamental chinesa dedicada à detecção, prevenção e resposta a incidentes de segurança relacionados a vírus e outras ameaças cibernéticas, coloca em dúvida a veracidade e a intenção por trás dessa acusação dos EUA contra a China.
Te podría interesar
As análises do CVERC indicam que as evidências que vinculam o Volt Typhoon ao governo chinês são, no mínimo, questionáveis. Especialistas sugerem que o comportamento descrito no ataque tem mais correlação com grupos de ransomware (leia abaixo) ou cibercriminosos independentes, do que com uma operação patrocinada pelo Estado chinês.
Ciberespionagem dos EUA
Divulgado na última segunda-feira (14), o documento do CVERC acusa as agências do governo dos EUA de realizarem operações de ciberespionagem e desinformação. O relatório afirma que Washington utiliza armas cibernéticas sofisticadas para desviar investigações e incriminar outros países, incluindo a China, por suas próprias atividades de espionagem cibernética.
Te podría interesar
O relatório expõe as operações de espionagem cibernética dos EUA que teriam como alvo a China, Alemanha e outros países. O texto informa que as acusações dos EUA contra o grupo Volt Typhoon, divulgadas em maio de 2023 por autoridades dos países do Cinco Olhos - EUA, Reino Unido, Austrália, Canadá e Nova Zelândia - (leia abaixo), são infundadas e fazem parte de uma estratégia maior para manter o controle sobre a vigilância global sem mandados e ganhar vantagens políticas e econômicas.
O relatório também menciona o uso de ferramentas secretas, como o "Marble", desenvolvidas pela Agência de Segurança Nacional (NSA, da sigla em inglês) dos EUA para mascarar suas operações e lançar falsas acusações contra adversários.
O relatório destaca ainda que os EUA estão envolvidos em espionagem cibernética em larga escala, incluindo a interceptação de cabos submarinos de internet e o monitoramento de países aliados como França, Alemanha e Japão. A China condenou essas atividades e pediu que os EUA cessem imediatamente seus ataques cibernéticos globais e o uso de questões de cibersegurança para difamar outros países.
Leia aqui o relatório do CVERC em inglês.
Entenda o Volt Typhoon
O Volt Typhoon é um grupo de hackers que, segundo investigações da Microsoft e das agências de cibersegurança dos EUA, estaria vinculado ao governo chinês. As atividades desse grupo foram detectadas em redes de infraestrutura crítica dos Estados Unidos, principalmente em setores de energia, transporte e telecomunicações.
O principal objetivo identificado pelos investigadores seria a coleta de informações, especialmente relacionadas a capacidades militares dos EUA e sua infraestrutura. Alguns analistas acreditam que essas invasões poderiam ser preparativas para futuros ataques em momentos de escalada de tensões internacionais, como em um potencial conflito envolvendo a região do Indo-Pacífico.
O grupo utiliza técnicas de "vivência fora da terra" (living off the land, leia abaixo), que se destacam por não depender de malware convencional. Em vez disso, os hackers aproveitam funções já presentes nos sistemas atacados, o que dificulta a detecção de suas atividades. Entre as vítimas suspeitas estão redes relacionadas à Marinha dos EUA e outros sistemas críticos em Guam.
O que é "vivência fora da terra
A "vivência fora da terra" (do inglês living off the land, ou LOTL) é uma técnica usada por hackers para explorar recursos e ferramentas já existentes no sistema alvo, em vez de introduzir novos malwares ou programas invasivos. Essa técnica visa evitar a detecção por sistemas de segurança cibernética, uma vez que utiliza componentes legítimos do sistema para executar atividades maliciosas.
Por exemplo, um invasor pode utilizar ferramentas de administração que já estão instaladas no sistema da vítima, como o PowerShell ou o Task Scheduler em computadores com sistema operacional Windows, para executar comandos maliciosos, mover-se lateralmente dentro da rede e exfiltrar dados. Como essas ferramentas são frequentemente usadas por administradores legítimos, as atividades maliciosas que as utilizam podem passar despercebidas por muitos sistemas de detecção de intrusão.
Em vez de instalar malware, o invasor se aproveita de software ou ferramentas já presentes no ambiente da vítima. Como não há novos programas ou códigos suspeitos, as ferramentas de segurança têm dificuldade em detectar esse tipo de ataque. O LOTL permite que os atacantes se movimentem de forma discreta dentro de uma rede, explorando diferentes partes do sistema sem levantar suspeitas.
Essa técnica tem sido cada vez mais usada em ciberataques sofisticados, como os atribuídos ao grupo Volt Typhoon, que se aproveita da vivência fora da terra para executar espionagem sem ser detectado.
Relatório da Microsoft
Em 24 de maio de 2023, as autoridades de cibersegurança dos países dos Cinco Olhos (EUA, Reino Unido, Austrália, Canadá e Nova Zelândia - leia abaixo), conhecidos como FVE na sigla em inglês, emitiram um aviso conjunto de cibersegurança intitulado "Atores Cibernéticos Patrocinados pelo Estado da República Popular da China utilizando técnicas de ‘vivência fora da terra’ para evitar detecção".
O aviso afirmava ter descoberto um grupo de atividades associado a um ator cibernético patrocinado pela China, também conhecido como Volt Typhoon, e que essa atividade afetava redes em setores de infraestrutura crítica dos EUA.
Um relatório produzido pela Microsoft foi a principal referência para este aviso, no qual a gigante de tecnologia estadunidense descreveu que o Volt Typhoon era um ator patrocinado pelo Estado chinês focado em espionagem e coleta de informações.
A Microsoft também apresentou táticas, técnicas e procedimentos do ator e alegou que ele obtinha acesso inicial a organizações-alvo ao explorar dispositivos de rede voltados para a internet, como firewalls e dispositivos de borda de rede comprometidos. Em seguida, ele usava comandos de "vivência fora da terra" para evitar a detecção, mover-se lateralmente e exfiltrar dados.
Leia aqui o relatório da Microsoft sobre o Volt Typhoon.
Audiência tardia no Congresso dos EUA
Quase um ano depois do ataque, o Congresso dos EUA realizaria uma audiência em janeiro de 2024 pela Comissão Especial sobre a China, presidida pelo republicano de Wisconsin Mike Gallagher. O evento trouxe o Volt Typhoon de volta ao centro do debate.
Naquela ocasião, autoridades de cibersegurança dos EUA, incluindo representantes da Agência de Segurança Nacional (NSA, da sigla em inglês) e do FBI, a autoridade policial federal do país, pintaram a China como uma ameaça crescente à segurança cibernética e nacional dos EUA.
Segundo Gallagher, o suposto ataque cibernético teria o potencial de causar destruição generalizada em setores essenciais do país, reforçando a retórica da “ameaça chinesa”.
Projeto de lei contra a China
Meses depois dessa audiência, no dia 24 de setembro deste ano, o Congresso dos EUA deu mais um passo contra a China. Representantes republicanos apresentaram um projeto de lei que visa combater as alegadas crescentes ameaças cibernéticas supostamente patrocinadas pelo Partido Comunista Chinês (PCCh) contra infraestruturas críticas estadunidenses.
A proposta, liderada pela republicana da Flórida Laurel Lee, pretende criar uma força-tarefa interagências, coordenada pela Agência de Segurança Cibernética e de Infraestrutura (CISA, da sigla em inglês) e pelo FBI, para monitorar e responder a ataques cibernéticos estatais, incluindo ações do grupo Volt Typhoon.
A força-tarefa deverá apresentar relatórios anuais ao Congresso por cinco anos em que detalhará suas investigações sobre as atividades cibernéticas chinesas.
O presidente da Comissão de Segurança Interna, o republicano do Tennessee Mark E. Green, e o presidente da Comissão Especial sobre o PCCh, o republicano de Michigan John Moolenaar, também apoiam a proposta, que busca uma resposta coordenada do governo federal para enfrentar "ameaças" vindas de Pequim.
Leia aqui o documento da CISA sobre o Volt Typhoon.
O que são os 'Cinco Olhos'
Os Cinco Olhos ou FVE (Five Eyes em inglês) é uma aliança de inteligência composta por cinco países de língua inglesa: Estados Unidos, Reino Unido, Canadá, Austrália e Nova Zelândia. Esses países cooperam para coletar, compartilhar e analisar informações de inteligência, principalmente de comunicações e vigilância, com o objetivo de proteger a segurança nacional e combater ameaças globais, como terrorismo e ciberataques.
A aliança dos Cinco Olhos tem suas origens durante a Segunda Guerra Mundial, quando os Estados Unidos e o Reino Unido começaram a colaborar estreitamente em atividades de interceptação de comunicações. Em 1946, essa cooperação formalizou-se com o Acordo UKUSA, que estabeleceu a base para o compartilhamento de informações de inteligência entre os dois países. Posteriormente, Canadá, Austrália e Nova Zelândia aderiram, expandindo a aliança para os Cinco Olhos.
Os países dos Cinco Olhos compartilham informações obtidas por meio de inteligência de sinais (SIGINT), que envolve a interceptação de comunicações eletrônicas, como e-mails, telefonemas e transmissões de rádio. A aliança utiliza uma rede global de estações de vigilância para monitorar comunicações eletrônicas em todo o mundo.
Um exemplo disso é o sistema de vigilância global conhecido como ECHELON, que é usado para interceptar comunicações internacionais. Também promove o intercâmbio rápido de informações de inteligência entre os países membros, facilitando a resposta conjunta a ameaças globais, como terrorismo, ciberataques e espionagem.
Os Cinco Olhos são uma das alianças de inteligência mais antigas e bem estabelecidas do mundo. Os países membros têm acordos para compartilhar uma ampla gama de dados de inteligência, inclusive sobre segurança cibernética e espionagem estrangeira. Cada nação contribui com suas próprias capacidades de coleta e análise de informações, garantindo um fluxo constante de dados entre os membros.
A aliança tem sido alvo de críticas por suas práticas de vigilância em massa. As revelações de Edward Snowden, ex-contratado da NSA, em 2013, mostraram que os Cinco Olhos realizam uma vigilância global em larga escala, incluindo a espionagem de cidadãos comuns e líderes estrangeiros. Isso gerou preocupações sobre privacidade e a legalidade das operações de vigilância.
Os países dos Cinco Olhos também cooperam fortemente em questões de cibersegurança. Eles compartilham informações sobre ameaças cibernéticas, vulnerabilidades e ataques, trabalhando em conjunto para fortalecer a defesa cibernética de suas infraestruturas críticas. A aliança tem sido particularmente ativa na resposta a ataques cibernéticos patrocinados por Estados, como aqueles supostamente provenientes de China, Rússia e Coreia do Norte.
Leia aqui documento do Cinco Olhos sobre Volt Typhoon divulgado pelo Departamento de Defesa dos EUA.
O que é ransomware
Ransomware é um tipo de malware (software malicioso) que, ao infectar um sistema, criptografa ou bloqueia os dados do usuário, tornando-os inacessíveis. Em seguida, os criminosos exigem um resgate financeiro (geralmente em criptomoedas, como o Bitcoin) em troca da chave para desbloquear ou restaurar o acesso aos dados.
Existem dois tipos principais de ransomware:
- Ransomware de criptografia: Este tipo criptografa os arquivos do usuário, impedindo o acesso a eles. Mesmo que o usuário tenha o sistema em funcionamento, os dados permanecem inacessíveis até que a chave de decodificação seja fornecida pelo criminoso (após o pagamento do resgate).
- Ransomware de bloqueio: Ele bloqueia o acesso ao sistema inteiro, exibindo uma tela que impede a utilização do dispositivo até que o resgate seja pago. Diferente do ransomware de criptografia, ele não necessariamente criptografa arquivos.
Os cibercriminosos pedem pagamento, geralmente em criptomoedas, para garantir anonimato e dificultar o rastreamento. Ransomwares de criptografia utilizam algoritmos complexos que dificultam ou tornam impossível recuperar os dados sem a chave fornecida pelo atacante. Em muitos casos, os criminosos ameaçam destruir ou divulgar dados sensíveis se o pagamento não for feito no prazo estipulado.
Um ransomware é disseminado por anexos infectados ou links maliciosos em e-mails; ao baixar arquivos de sites inseguros ou comprometidos; ou aproveitando falhas de segurança em sistemas operacionais ou softwares.
Para prevenção e proteção contra ransomware a orientação é manter backups atualizados dos dados em locais que não estejam conectados à rede para permitir a restauração sem precisar pagar o resgate; manter os sistemas e softwares atualizados reduz a vulnerabilidade a ataques e adotar ferramentas de segurança para ajudar a bloquear tentativas de ataque antes que o ransomware se instale.
O ransomware tem se tornado uma ameaça cada vez mais comum e sofisticada, afetando tanto indivíduos quanto grandes empresas e instituições e até governos.
Volt Typhoon, uma cortina de fumaça
Em meio a um cenário de tensões crescentes entre Estados Unidos e China, o elo sugerido por Washington e aliados de que Pequim estaria por trás do ataque cibernético atribuído ao Volt Typhoon é apontado pelas autoridades chinesas como uma cortina de fumaça para interesses internos desses países na tentativa de conter a potência asiática
A questão levantada agora é se essa campanha em torno do Volt Typhoon"não seria uma manobra para inflar o orçamento de segurança cibernética nos EUA e garantir maiores contratos para empresas de tecnologia. O temor de uma "ameaça chinesa" tem sido uma tática frequente usada para justificar aumentos nos gastos com defesa e segurança, e esse episódio pode ser mais um exemplo dessa estratégia.
Enquanto isso, as tensões entre as duas maiores economias do mundo se intensificam. A manipulação de informações e a falta de transparência nos detalhes do suposto ataque agravam ainda mais as relações sino-estadunidenses.
Se, por um lado, a narrativa da ameaça cibernética fortalece os argumentos por mais investimentos em defesa, por outro, ela coloca em risco a diplomacia e a ordem cibernética global, baseadas em princípios de cooperação e transparência.
O Volt Typhoon exemplifica como questões de segurança cibernética podem ser usadas politicamente para alcançar objetivos internos, ao mesmo tempo em que alimenta rivalidades internacionais.
Resta saber se a verdade sobre o incidente será completamente revelada, ou se ele continuará sendo uma peça-chave no jogo geopolítico entre as maiores potências do mundo.
Siga os perfis da Revista Fórum e da jornalista Iara Vidal no Bluesky