No meio das acusações que o governo norte-americano faz contra cinco membros da equipe militar de hackers da China, uma informação desperta atenção: uma companhia estatal chinesa é acusada de ter contratado um dos acusados para construir um banco de dados para armazenar inteligência roubada de seus competidores.
De acordo com a acusação do departamento de justiça dos Estados Unidos (DOJ), Huang Zhenyu foi contratado entre 2006 e 2009 para trabalhar como programador para uma das companhias chinesas, citada apenas como ‘SOE-2’. Zhenyu é acusado de receber ordens para criar um banco de dados secreto que armazenaria dados estratégicos sobre a indústria metalúrgica, além de informações sobre companhias norte-americanas.
Ainda segundo o processo, empresas chinesas contrataram a mesma PLA Unit onde os acusados trabalharam para conseguir informações sobre serviços tecnológicos.
O projeto de contratação de um prédio para armazenar um banco de dados deixa claro a grande quantidade de atividades da unidade hacker, conhecida como unidade 61398 do terceiro departamento do exército da libertação chinês (também conhecido como APT1), onde os acusados trabalham. Eric Holder, o mais importante oficial de justiça norte-americano, anunciou que os cinco suspeitos foram indiciados pela unidade militar sob acusação de hackear e roubar segredos sobre o aço norte-americano, energia solar, companhias manufatureiras, como a Alcoa, Allegheny Technologies Inc., SolarWorld AG, Westinghouse Electric, US Steel e United Steel Workers Union.
“Uma das companhias contratou o APT1. Isso seria a mesma coisa que a GE contratar a NSA”, afirmou Ricardo Bejtlich, chefe de segurança estratégia da FireEye e especialista no grupo APT1. “Eles construíram um banco de dados. Para mim, é interessante que eles tenham contratado uma unidade militar para a construção e acabem recebendo informações roubadas nele”, analisa.
No entanto, para o especialista, o que não está claro é como os Estados Unidos conseguiram os detalhes sobre a operação. “Como os EUA descobriram isso? Usamos nossa inteligência para chegar a todas estas informações?”, questiona.
Huang Zhenyu é acusado de gerenciar a infraestrutura utilizada em ataques hackers contra companhias norte-americanas. O chinês também registrou e administrou contas em domínios que outros acusados usaram para invadir redes de empresas. Ao todo, o processo contém 31 acusações contra Zhenyu e seus colegas, incluindo roubo de identidade, espionagem econômica e roubo de arquivos secretos sobre negociações. As penas por cada um dos crimes podem variar de cinco a 15 anos.
Em entrevista ao portal Dark Reading, da Information Week EUA, o chefe de segurança cibernética da Trend Micro, Tom Kellerman, explicou que a tática de contratação utilizada pela APT1/Unit 61398 reflete a tendência de economia de escalas baseada em serviços, que já era utilizada pelo cybercrime no oriente europeu. “Eles aprenderam que podem aproveitar oportunidades de custos e vantagens comparativas simulando a economia de serviços hackers da Europa Oriental”, explica. “Em muitas ocasiões, eles usam kits criminosos e RATs muito eficientes que foram originalmente produzidos na Europa para roubar bancos, utilizando-os para roubar esses IPs. Se você observar a metamorfose do SpyEye e do Citadel, isso condiz com essa realidade”, conclui Kellerman.
Então, se uma companhia estatal chinesa de aço contrata uma unidade de hackers militares para fazer um trabalho para ela, quem paga o serviço? Na visão de Kellerman, a companhia é paga pelos militares. “Muitas dessas companhias são apenas fachadas”.
Apesar do alto perfil da Unit 61398/APT1, ela é apenas mais uma das diversas unidades que existem na China. “Eles recebem mais atenção por serem os mais produtivos e por irem atrás da maioria das indústrias, mas eles não são o foco principal”, afirma Bejtlich.
Como comparação, o agrupamento dessas diversas unidadesm como a 61398m seria o equivalente a NSA. “Esses homens chamaram atenção por estarem em todos os lugares, e em alguns casos isso incomoda”, relatou. “Outros grupos também podem existir, mas por serem muito mais discretos fica mais difícil saber sobre eles”
Esta semana, a empresa de segurança digital FireEye liberou outras informações sobre o grupo APT1/Unit 61398. No material, constam evidências sobre possibilidade dos invasores atuarem também fora da China, visto que 98,2% dos endereços de IP utilizados vieram de redes localizadas em Shanghai.