ATAQUE CIBERNÉTICO DOS EUA CONTRA A CHINA... DESTINADO A
CONTROLAR EQUIPAMENTOS DE INFRAESTRUTURA E ROUBAR INFORMAÇÕES
O ataque cibernético lançado pela Agência de Segurança Nacional dos EUA (NSA) contra a Universidade Politécnica do Noroeste da Província de Shaanxi, noroeste da China, conhecida por seus estudos de aviação, aeroespacial e navegação - teve como objetivo infiltrar e controlar equipamentos centrais na infraestrutura da China e roubar dados privados.
A Northwestern Polytechnical University anunciou que hackers do exterior foram pegos enviando e-mails de phishing com programas de cavalos de Tróia para professores e alunos da universidade, tentando roubar seus dados e informações pessoais.
Para investigar o ataque, o Centro Nacional de Resposta a Emergências de Vírus de Computador da China e a empresa de segurança na Internet 360 formaram em conjunto uma equipe técnica para realizar uma análise técnica abrangente do caso.
Ao extrair muitas amostras de cavalos de Tróia de terminais de internet da Northwestern Polytechnical University, com o apoio de parceiros europeus e do sul da Ásia, a equipe técnica anunciou em setembro que identificou inicialmente que o ataque cibernético foi realizado pelo Tailored Access Operations (TAO) (Code S32) sob o Data Reconnaissance Bureau (Código S3) do Departamento de Informação (Código S) da NSA dos EUA.
Uma análise mais profundaconduzido pelo Centro Nacional de Resposta a Emergências de Vírus de Computador da China e pelo laboratório Qi An Pangu, com sede em Pequim, mostrou que uma arma de farejamento cibernético, conhecida como "beber chá", é um dos culpados mais diretos responsáveis pelo roubo de grandes quantidades de dados confidenciais.
"Beber chá" pode não apenas roubar contas e senhas para transferência remota de arquivos, mas também é muito capaz de ocultar e se adaptar a um novo ambiente. Depois de ser implantado no servidor e equipamento de destino, o "beber chá" se disfarçará como um processo normal de serviço em segundo plano e enviará cargas maliciosas etapa por etapa, dificultando muito a localização.
Uma investigação mais aprofundada sobre o caso descobriu 13 atacantes, o que provou que o TAO controla secretamente o servidor de gerenciamento de operação e manutenção da universidade há muito tempo. Ao mesmo tempo, o TAO substituiu os arquivos originais do sistema e apagou os logs do sistema para eliminar rastros e evitá-los.
De acordo com as características do ataque do TAO, como links secretos, ferramentas de infiltração e amostras de cavalos de Tróia, especialistas chineses em segurança cibernética descobriram que o TAO se infiltrou e controlou a rede de dados principal dos operadores de infraestrutura chineses.
Além disso, o TAO entrou na rede dos operadores de infraestrutura da China com uma identidade "legal" através da conta e senha do firewall Cisco PIX, firewall Tianrongxin e outros dispositivos. Ao controlar o sistema de monitoramento e os servidores de mensagens dos operadores de infraestrutura, o TAO poderia acessar as informações do povo chinês com identidades confidenciais e, em seguida, empacotar e criptografar suas informações e enviá-las de volta à sede da NSA por meio de trampolins de vários níveis.
