Uma série de campanhas de espionagem cibernética que datam de 2014 e provavelmente focadas na coleta de informações de defesa de países vizinhos foram ligadas a um aparato de inteligência militar chinês.
Em um amplo relatório publicado pela Recorded Future, com sede em Massachusetts, esta semana, a empresa de segurança cibernética Insikt Group disse que identificou laços entre um grupo que rastreia como “RedFoxtrot” com a Unidade 69010 do Exército de Libertação do Povo (PLA) operando fora de Ürümqi, capital da Região Autônoma Uigur de Xinjiang na China.
Anteriormente chamado de “Lanzhou Military Region’s Second Technical Reconnaissance Bureau”, a Unidade 69010 é uma unidade militar “cover” para o Gabinete de Reconhecimento Técnico (TRB) dentro do Departamento de Sistemas de Rede (NSD) da Força de Apoio Estratégica (SSF) da China.
A conexão com a Unidade 69010 do PLA decorre do que os pesquisadores disseram ser “medidas de segurança operacional frouxas” adotadas por um suspeito de ameaça não identificado do RedFoxtrot, cuja persona online revelou o endereço físico do escritório de reconhecimento e tem um histórico de afiliação ao antigo PLA Academia de Comando de Comunicações em Wuhan.
RedFoxtrot é conhecido por ter como alvo os setores de governo, defesa e telecomunicações na Ásia Central, Índia e Paquistão, com intrusões nos últimos seis meses dirigidas contra três empresas contratadas para serviços aeroespaciais e de defesa indianos, bem como grandes provedores de telecomunicações e agências governamentais no Afeganistão, Índia, Cazaquistão e Paquistão.
“A atividade durante este período mostrou um foco particular nos alvos indianos, o que ocorreu em um momento de intensas tensões na fronteira entre a Índia e a República Popular da China”, disseram os pesquisadores.
Ataques encenados pelo adversário envolveram uma variedade de ferramentas de código aberto e fechado que foram compartilhadas por grupos de espionagem cibernética chineses, incluindo PlugX, Armador Royal Road RTF, QUICKHEAL, PCShare, IceFog e Poison Ivy RAT.
Também observado foi o uso da infraestrutura AXIOMATICASYMPTOTE, que engloba um backdoor modular do Windows chamado ShadowPad que foi anteriormente atribuído ao APT41 e posteriormente compartilhado entre outros atores chineses apoiados pelo estado.
Além disso, os domínios registrados pelo RedFoxtrot – “inbsnl.ddns [.] Info” e “adtl.mywire [.] Org” – sugerem que o ator da ameaça pode ter voltado seus olhos para o provedor de serviços de telecomunicações indiano Bharat Sanchar Nigam Limited (BSNL) e uma empresa sediada em Bengaluru, chamada Alpha Design Technologies Limited (ADTL), especializada em pesquisa e desenvolvimento de sistemas de mísseis, radares e satélites.
O desenvolvimento vem mais de três meses depois que outro grupo de ameaças vinculado à China, apelidado de RedEcho, foi descoberto visando a rede elétrica da Índia, incluindo uma usina gerida pela National Thermal Power Corporation (NTPC) e Power System Operation Corporation com sede em Nova Delhi.
Fonte: Cyber espionage by Chinese hackers in neighbouring nations is on the rise
Posts relacionados: Mais empresas de telecomunicações chinesas podem deixar de operar nos EUA / Agências dos EUA sofrem ataque de espionagem cibernética e G7 faz apelo à Rússia para reprimir gangues de ransomware