O pensamento de espionagem geralmente evoca gadgets de ponta peculiares, como guarda-chuvas que se transformam em lasers e óculos de raio-x, reuniões clandestinas matinais enevoadas ou perseguições de barco em alta velocidade em locais exóticos e disfarces elaborados. Hoje, a realidade pode ser muito menos sexy — mas muito mais eficaz.

Hackers patrocinados pelo estado têm empregos das 9 às 5, assim como o resto de nós. Eles têm escritórios, férias e bate-papos na sala de café. Mas, por trás de seus computadores, eles estão executando campanhas para infiltrar sistemas em todo o mundo, capturando dados confidenciais de governos, empresas, infraestrutura crítica ou até mesmo indivíduos que podem ter acesso a esses dados.

“Sabemos que a China, por exemplo, tem um exército cibernético com dezenas de milhares de pessoas e eles estão hackeando o mundo todos os dias de uma forma realmente estruturada com gerentes, equipes e reuniões diárias”, diz o especialista holandês em segurança cibernética Willem Zeeman. “Tudo é profissional.”

No início de 2024, ao conduzir uma investigação de resposta a incidentes, os Serviços Militares e de Inteligência Geral da Holanda notaram algo incomum em servidores estaduais. O que eles descobriram foi um malware Remote Access Trojan (RAT) desenvolvido para dispositivos FortiGate.

Conferência TNW 2025 – De volta ao NDSM nos dias 19 e 20 de junho de 2025 – Reserve a data!

Ao encerrarmos nossa incrível edição de 2024, temos o prazer de anunciar nosso retorno ao Amsterdam NDSM em 2025. Inscreva-se agora!

O interessante é que esse malware “desconhecido” não tinha como objetivo obter acesso aos sistemas, mas sim manter o acesso, permanecendo ativo e persistente nos dispositivos, mesmo após reinicializações e atualizações.

O que eles finalmente descobriram foi uma campanha de espionagem cibernética chinesa que estava ativa em sistemas nacionais por alguns meses em 2023. O resultado relatório lançado em fevereiro de 2024 foi a primeira vez que o governo holandês atribuiu publicamente a pirataria patrocinada pelo Estado a Pequim.

Após uma investigação mais aprofundada, um novo relatório em junho revelou que a campanha, codinome COATHANGER, tinha sido muito mais disseminada do que se pensava inicialmente. Em poucos meses, entre 2022 e 2023, ela ganhou acesso a mais de 20.000 unidades no mundo todo.

Durante esse “período de zero-day”, 14.000 dispositivos foram comprometidos. Os alvos incluíam dezenas de governos ocidentais, instituições diplomáticas e empresas da indústria de defesa.

Enquanto governos ao redor do mundo se esforçam para descobrir e estancar a infiltração, a pergunta que permanece na mente de todos é: quanto e que tipo de dados foram comprometidos durante a espionagem de acesso aberto dos hackers em informações confidenciais?

Apesar do potencial impacto generalizado, a cobertura jornalística do ataque tem sido escassa. Embora a mídia tenha relatado amplamente sobre ataques de Ransomware, a espionagem cibernética simplesmente não é considerada um tópico quente por uma série de razões. A preocupação de Zeeman é que essa falta de conscientização e supervisão pode resultar em consequências prejudiciais em nível global.

Enquanto o Ransomware faz manchetes, a espionagem cibernética permanece nas sombras

As empresas que foram vítimas de ransomware não só sofrem um impacto direto em seus resultados financeiros (como resultado dos pagamentos), mas também em sua reputação, pois clientes e usuários perdem a confiança na organização.

De certa forma, o ransomware ajudou a empurrar a segurança cibernética para cima na lista de prioridades das empresas, acredita Zeeman. “O que você vê é que as pessoas começaram a investir em segurança cibernética porque têm medo de ransomware. Mas também há outra tendência que é muito mais avançada.”

Hoje em dia, qualquer um pode ser um hacker com algumas ferramentas padrão que você pode baixar da internet, e muitos usam táticas rudimentares rápidas e sujas. Atores estatais, por outro lado, têm um nível mais alto de especialização e, às vezes, têm recursos ilimitados apoiando suas atividades. Eles criam seus próprios programas e até conduzem anti-forenses, tudo para que possam evitar a detecção.

Em forte contraste com os invasores de ransomware, que visam criar o máximo de interrupção, os atores estatais fazem de tudo para manter as operações em execução. “Houve vários casos em que o invasor tomou medidas para garantir que o sistema continuasse funcionando sem problemas”, observa Zeeman. “Eles fizeram as alterações necessárias para evitar a detecção ou falha do sistema, em vez de permitir que erros ou bugs desencadeassem uma resposta que pudesse expor sua presença.”

Isso significa que, uma vez dentro, eles estão lá para o longo prazo. Nos casos de espionagem cibernética que ele investigou, Zeeman e sua equipe frequentemente descobriam que esses atores estavam incorporados em sistemas por meses ou até anos, permitindo que eles trocassem segredos como informações de IP, propriedade intelectual, etc.

A crescente indústria de chips da Holanda a coloca em evidência

A inteligência holandesa chamou a campanha COATHANGER de “parte de uma tendência de espionagem política chinesa contra a Holanda e seus aliados”.

Nos últimos anos, a Holanda se viu um pequeno país entre gigantes. Como lar do fabricante de máquinas semicondutoras ASML e da fabricante de chips NXP, ela se envolveu em uma guerra de chips entre os EUA e a China, com a primeira aplicando pressão sobre ela para bloquear vendas de máquinas avançadas, bem como reparos em máquinas existentes.

No início deste ano, a ASML anunciou que seria capaz de desligar suas máquinas baseadas em Taiwan remotamente caso a China invadisse, enviando a empresa para o meio de um impasse geopolítico. Um Davi entre dois Golias.

Se sua indústria crítica de semicondutores não for protegida contra espionagem cibernética, a Holanda poderá perder não apenas sua propriedade intelectual (PI), mas também sua influência política.

No entanto, no início de 2020, uma investigação sobre algumas atividades suspeitas revelou que um grupo de hackers chinês “Chimera” teve acesso aos sistemas da NXP desde o final de 2017. O foco durante o período de dois anos em que os hackers tiveram acesso aos seus servidores foi obter designs de chips e hackear caixas de correio contendo grandes quantidades de informações confidenciais.

Embora seja difícil saber quanta informação foi obtida, o fato é que ataques contínuos como esse podem representar um grande golpe tanto para a Holanda quanto para a Europa.

Proteção contra espionagem cibernética: a regulamentação pode ser fundamental

No momento, o foco principal dos atores de espionagem cibernética tem sido em dispositivos de ponta (como na campanha COATHANGER) e ferramentas de trabalho remoto, particularmente soluções SSL VPN. Mas como esses atores têm recursos ilimitados, eles continuarão vindo, expondo novas vulnerabilidades quando outras forem descobertas.

Mas proteger-se contra espionagem cibernética é custoso. “A única maneira de saber se você foi violado é verificar periodicamente”, diz Zeeman. Isso significa que avaliações de comprometimento devem ser realizadas a cada um a cinco anos, dependendo da sensibilidade dos dados de uma empresa ou organização.

“O governo deve desempenhar um papel maior em orientar e pressionar as organizações a conduzir investigações se seu cenário de ameaças implicar ser um alvo desses ataques avançados”, acrescenta Zeeman, afirmando que, devido aos custos associados a isso, as empresas não o farão por conta própria. “Já é obrigatório que as empresas tenham alguma segurança cibernética decente implementada com NIS2 chegando, e o conselho é responsabilizado por isso, mas verificações regulares não são obrigatórias.”

Isso é essencial para proteger infraestrutura crítica, como sistemas de água, bancos, hospitais, portos, etc., mas também indústrias-chave. À medida que a Holanda despeja mais dinheiro em subsídios e incentivos para manter seus gigantes de chips no país, ela também deve garantir que essas entidades estejam mantendo a PI devidamente protegida de olhares curiosos.

Outro problema é que esses casos são frequentemente mantidos sob o radar por empresas que desejam manter o fato de que foram hackeados em segredo. Normalmente, as empresas com as quais Zeeman trabalhou têm um NDA em vigor. Então, se uma equipe de segurança cibernética descobre um caso de espionagem cibernética, eles só podem compartilhá-lo com entidades externas, como os Serviços de Segurança Holandeses, se a empresa permitir. Isso significa que as informações geralmente não são compartilhadas — mesmo se eles descobrirem que os atores cibernéticos se infiltraram em mais sistemas externos como resultado.

Quando perguntado se também deveria ser obrigatório compartilhar esse tipo de informação com as autoridades, Zeeman hesita. Em sua opinião, isso pode criar muita reação negativa. Mas estabelecer um sistema padronizado de verificações para as empresas e indústrias que o país mais valoriza é realmente essencial.

Por que a Europa deveria estar preocupada

Vazamentos podem ser críticos não apenas para a Holanda, mas para o mercado mais amplo da UE, já que o bloco busca abrir um caso contra a China sobre subsídios a chips de carros. A Europa abriga três dos cinco maiores produtores: NXP, Infineon e STMicroelectronics. Se a UE quiser permanecer na liderança como produtora de semicondutores automotivos legados, precisará proteger a propriedade intelectual de seus gigantes de chips.

Além de seu domínio no campo de chips, a Holanda é uma encruzilhada física e digital crítica entre a Europa e o resto do mundo.

O porto de Roterdã é o maior centro marítimo da Europa, o que o torna crítico para as cadeias de suprimentos dentro e fora do continente. Em janeiro de 2022, o grupo de hackers Ransomware as a Service Blackcat atingiu 17 portos e terminais de petróleo, incluindo o Porto de Roterdã, com um ataque de ransomware que redirecionou navios petroleiros, interrompendo o carregamento e descarregamento no meio do inverno.

No ano passado, o grupo hacktivista sérvio/russo NoName057(16) derrubou os sites do porto e vários outros na Holanda em resposta à decisão do governo de entregar 8 tanques Leopard 1 para a Ucrânia. Embora esses ataques não tenham sido realizados por grupos estatais, ambos representam exemplos de como a vulnerabilidade do porto pode ser abusada maliciosamente.

Além disso, os atores estatais também estão olhando para a Holanda por suas redes e infraestrutura digitais de alta qualidade. De acordo com um Avaliação de ameaça realizado pelo governo em 2022, servidores holandeses foram usados ​​em uma série de ataques cibernéticos internacionais. Em tais casos, a Holanda está “servindo como um trampolim para ataques patrocinados pelo estado que podem prejudicar países terceiros, possivelmente incluindo aliados”.

COATHANGER recebeu esse nome em homenagem a um trecho de código no malware que continha uma linha do conto de Roald Dahl Cordeiro ao matadouroem que uma esposa pendurou o casaco do marido antes de assassiná-lo com uma perna de cordeiro congelada. Aparecendo como a viúva em luto, ela evita a detecção entregando a arma do crime à polícia.

A questão é: a Holanda usará sua crescente importância estratégica como alavanca para exercer pressão no cenário internacional ou sua vulnerabilidade à espionagem cibernética a tornará um obstáculo para seus aliados e a UE?

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *