No final de semanaalguém postou um cache de arquivos e documentos aparentemente roubados da empresa de hackers do governo chinês, I-Soon.

Esta fuga de informação dá aos investigadores de segurança cibernética e aos governos rivais uma oportunidade sem precedentes de olhar por trás da cortina das operações de pirataria informática do governo chinês facilitadas por empreiteiros privados.

Como o operação hack-and-leak que teve como alvo o fabricante italiano de spyware Hacking Team em 2015, o vazamento do I-Soon inclui documentos da empresa e comunicações internas, que mostram que o I-Soon estava supostamente envolvido em empresas de hacking e agências governamentais na Índia, Cazaquistão, Malásia, Paquistão, Taiwan e Tailândia , entre outros.

Os arquivos vazados foram postados no site de compartilhamento de código GitHub na sexta. Desde então, observadores das operações de hackers chineses têm examinado febrilmente os arquivos.

“Isto representa a fuga de dados mais significativa ligada a uma empresa suspeita de fornecer espionagem cibernética e serviços de intrusão direcionada para os serviços de segurança chineses”, disse Jon Condra, analista de inteligência de ameaças da empresa de segurança cibernética Recorded Future.

Para John Hultquist, analista-chefe da Mandiant, de propriedade do Google, esse vazamento é “estreito, mas profundo”, disse ele. “Raramente temos acesso tão irrestrito ao funcionamento interno de qualquer operação de inteligência.”

Dakota Cary, analista da empresa de segurança cibernética SentinelOne, escreveu em um blog poste que “esse vazamento fornece uma visão inédita das operações internas de uma empresa de hackers afiliada ao estado”.

E o pesquisador de malware da ESET, Matthieu Tartare, disse que o vazamento “poderia ajudar analistas de inteligência ameaçando vincular alguns comprometimentos que observaram ao I-Soon”.

Uma das primeiras pessoas a passar pelo vazamento foi um pesquisador de inteligência de ameaças de Taiwan, conhecido como Azaka. No domingo, Azaka postou um longo tópico no X, antigo Twitter, analisando alguns dos documentos e arquivos, que aparecem datados de 2022. O pesquisador destacou software de espionagem desenvolvido pela I-Soon para dispositivos Windows, Macs, iPhones e Android, bem como dispositivos de hacking de hardware projetados para ser usado em situações do mundo real que podem quebrar senhas de Wi-Fi, rastrear dispositivos Wi-Fi e interromper sinais de Wi-Fi.

O “WiFi Near Field Attack System” da I-Soon, um dispositivo para hackear redes Wi-Fi, que vem disfarçado de bateria externa. (Captura de tela: Idade)

“Nós, pesquisadores, finalmente temos uma confirmação de que é assim que as coisas funcionam por lá e que os grupos APT funcionam praticamente como todos nós, trabalhadores regulares (exceto que são pagos horrivelmente)”, disse Azaka ao TechCrunch, “que a escala é decentemente grande, que existe um mercado lucrativo para violar grandes redes governamentais.” APT, ou ameaças persistentes avançadas, são grupos de hackers normalmente apoiados por um governo.

De acordo com a análise dos investigadores, os documentos mostram que I-Soon trabalhava para o Ministério da Segurança Pública da China, o Ministério da Segurança do Estado, o exército e a marinha chineses; e a I-Soon também apresentou e vendeu seus serviços para agências locais de aplicação da lei em toda a China para ajudar a atingir minorias como os tibetanos e os uigures, uma comunidade muçulmana que vive na região ocidental chinesa de Xinjiang.

Os documentos ligam o I-Soon ao APT41, um grupo de hackers do governo chinês que está supostamente ativo desde 2012, visando organizações em diferentes setores dos setores de saúde, telecomunicações, tecnologia e videogames em todo o mundo.

Além disso, um endereço IP encontrado no vazamento do I-Soon hospedava um site de phishing que a organização de direitos digitais Citizen Lab foi usado contra tibetanos em uma campanha de hackers em 2019. Os pesquisadores do Citizen Lab da época chamaram o grupo de hackers de “Poison Carp”.

Azaka, assim como outros, também encontraram registros de bate-papo entre funcionários e a gerência da I-Soon, alguns deles extremamente mundanos, como funcionários conversando sobre jogos de azar e jogando o popular jogo chinês baseado em peças, mahjong.

Cary destacou os documentos e bate-papos que mostram quanto – ou quão pouco – os funcionários da I-Soon recebem.

Contate-nos

Você sabe mais sobre o I-Soon ou os hacks do governo chinês? A partir de um dispositivo que não seja de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal pelo telefone +1 917 257 1382, ou via Telegram, Keybase e Wire @lorenzofb, ou e-mail. Você também pode entrar em contato com o TechCrunch via SecureDrop.

“Eles estão recebendo US$ 55.000 (EUA) – em dólares de 2024 – para hackear o Ministério da Economia do Vietnã, o que não é muito dinheiro para um alvo como esse”, disse Cary ao TechCrunch. “Isso me faz pensar em quão barato é para a China conduzir uma operação contra um alvo de alto valor. E o que isso diz sobre a natureza da segurança da organização.”

O que a fuga de informação também mostra, de acordo com Cary, é que os investigadores e as empresas de segurança cibernética devem considerar cautelosamente as potenciais ações futuras de grupos de hackers mercenários com base nas suas atividades passadas.

“Isso demonstra que o comportamento anterior de um ator de ameaça, especialmente quando ele é um contratante do governo chinês, não é indicativo de seus alvos futuros”, disse Cary. “Portanto, não é útil olhar para esta organização e dizer, ‘ah, eles apenas hackearam o setor de saúde, ou hackearam a indústria X, Y, Z, e hackearam esses países.’ Eles estão respondendo ao que essas agências (governamentais) estão solicitando. E essas agências podem solicitar algo diferente. Eles podem conseguir negócios com uma nova agência e um novo local.”

A Embaixada da China em Washington DC não respondeu a um pedido de comentário.

Um e-mail enviado para a caixa de entrada de suporte do I-Soon não foi respondido. Dois funcionários anônimos da I-Soon disse à Associated Press que a empresa teve uma reunião na quarta-feira e disse aos funcionários que o vazamento não afetaria seus negócios e que “continuariam trabalhando normalmente”.

Neste ponto, não há informações sobre quem postou os documentos e arquivos vazados, e o GitHub removeu recentemente o cache vazado de sua plataforma. Mas vários pesquisadores concordam que a explicação mais provável é um atual ou ex-funcionário descontente.

“As pessoas que organizaram esse vazamento deram um índice. E o índice do vazamento são os funcionários reclamando dos baixos salários e das condições financeiras do negócio”, disse Cary. “O vazamento está estruturado de forma a constranger a empresa.”

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *