Um dos mais persistentes e meticulosos grupos de piratas informáticos do mundo atacou em Portugal com o objetivo de roubar informações secretas. Esta é uma das raras ocasiões na qual está documentada a atividade, em Portugal, de um dos mais conhecidos grupos de hackers associados à China e mostra como o País está no radar de um dos mais relevantes grupos de ciberespionagem internacionais.
Este grupo é conhecido por muitos nomes – Vixen Panda, Playful Dragon, Mirage, ke3chang, Nickel –, com as designações a variarem entre as organizações especializadas em monitorização de crime informático, devido à dificuldade de atribuição da autoria dos ataques. Mas existe um nome técnico que ajuda a agregar as diferentes atividades criminosas deste coletivo de piratas informáticos ao longo dos anos: Advanced Persistent Threat 15 (APT15), que em tradução livre significa Ameaça Persistente Avançada 15. O termo APT é uma designação usada pelas empresas de segurança informática para atribuir ataques a grupos que são tecnicamente avançados e trabalham com objetivos muito específicos. E há um motivo para não se ouvir falar muitas vezes deste grupo em particular – é extremamente criterioso na escolha dos seus alvos. Mas Portugal entrou no seu radar.
Apesar de ainda não ter sido possível apurar quais foram as organizações vítimas do ataque, várias empresas de segurança informática ouvidas pela Exame Informática apontam todas no mesmo sentido – entidades do Estado, empresas de serviços e infraestruturas críticas, como da área da energia, da defesa e das telecomunicações, ou, em ocasiões mais raras, dissidentes, poderão estar entre as vítimas.
A atividade deste grupo de hackers em Portugal foi detetada e reportada pelo Centro de Inteligência de Ameaças da Microsoft no final de 2021. Segundo informações da tecnológica, que trata este grupo por Nickel, estavam a ser ativamente usados 42 domínios de internet para atacar alvos em quase 30 países. Na Europa, além de Portugal, também foram atacadas organizações em França, Reino Unido, Suíça, Itália, República Checa, Hungria, Croácia, Bósnia e Herzegovina, Montenegro e Bulgária. Os documentos submetidos pela Microsoft à justiça norte-americana revelam inclusive que existe uma ligação com Portugal em três dos domínios que o grupo estava a usar nos ataques – aparece como o país da pessoa que fez o registo dos domínios, ainda que esta informação possa ser editada e usada como técnica de despiste.
Os dados apontam na sua maioria para que o grupo tenha estado ativo em Portugal entre o final de 2020 e início de 2021, mas o primeiro ataque às vítimas poderá ter ocorrido muito antes – este grupo é conhecido por ficar nos sistemas das vítimas durante largos meses, indetetável, com o objetivo de roubar informações secretas.
Quando questionada pela Exame Informática, a Microsoft escusou-se a revelar mais detalhes sobre a atividade deste grupo em Portugal. A Exame Informática contactou também o Centro Nacional de Cibersegurança, a autoridade nacional em matéria de cibersegurança, que também não respondeu às questões colocadas.
Cristiana Kittner e Scott Henderson, da empresa de cibersegurança Mandiant, têm em conjunto 16 anos de experiência em monitorização de atividades de ciberespionagem e conhecem bem a APT15. Estes analistas não têm dúvidas quando dizem que “os alvos [deste grupo] não são escolhidos de forma aleatória”.
Quem são, afinal, estes hackers espiões, o que querem e por que razão atacaram em Portugal?
Missão? Roubar
“A APT15 é um agente de ameaças altamente ativo, focado em ciberespionagem de utilizadores de alto perfil na Europa e América Latina”, começa por explicar Zuzana Hromcova, investigadora de malware da empresa de segurança informática ESET, em resposta por e-mail. Segundo os dados de telemetria da tecnológica eslovaca, organizações governamentais e missões diplomáticas estão entre os principais alvos dos membros da APT15.
Um leque de vítimas que é corroborado por Justin Albrecht, perito em segurança informática da Lookout e que tem quase 20 anos de experiência na deteção e monitorização de agentes de ciberameaças, terrorismo e atividades de inteligência. “Todos [os ataques] têm o foco de recolha de informações de inteligência, sejam dados de empresas ou governos”, adianta.
Informações de inteligência são informações normalmente associadas a um Estado ou a organizações com ligações diretas ao Estado, que têm impacto na segurança e estratégia geopolítica de um país.
“Eles tentam cumprir objetivos estratégicos e isso inclui atacar os militares, atacar empresas de tecnologias avançadas, a indústria da energia e também atacar os grupos da diáspora”, detalha ainda o elemento da Lookout.
Outra tecnológica que tem seguido as pisadas deste aglomerado de piratas informáticos – uma APT pode ter mais do que um grupo a trabalhar no mesmo objetivo, daí as diferentes designações atribuídas pelas empresas – é a Mandiant, que reforça o interesse dos atacantes em alvos governamentais, da indústria da defesa (incluindo empresas aeroespaciais) e também em setores considerados como críticos.
Os primeiros registos de atividade deste coletivo de hackers foi feito em 2010 e, desde então, tem-se mantido ativo. A partir de 2017, sensivelmente, os sinais de ataque deste grupo tornaram-se mais difíceis de identificar – não por terem saído de cena, mas porque tornaram-se muito melhores a esconder as suas atividades.
Mestres da ilusão
A forma como este grupo ataca as vítimas não é particularmente sofisticado, mas a forma como se mantém escondido dos muitos sistemas de deteção já é digno de nota.
O grupo é conhecido por usar técnicas de engenharia social para ganhar acesso aos sistemas das vítimas, com destaque para o spear phishing. Esta técnica pressupõe a escolha e um estudo meticuloso da vítima a atacar, por forma a criar-se um e-mail personalizado e que terá maiores hipóteses de enganar a vítima. “Ao longo dos anos, a APT15 tem usado e-mails de spear phishing como primeiro vetor de ataque – os atacantes enviam um e-mail com uma hiperligação ou anexo malicioso e esperam que a vítima o abra”, explica Zuzana Hromcova.
Outra técnica comummente usada pela ATP15 é conhecida como watering holes, isto é, são comprometidos sites que os atacantes sabem ser usados com frequência pelas vítimas, aumentando a taxa de sucesso de infeção do alvo definido. Segundo a Microsoft, a atividade mais recente do grupo baseou-se na exploração de servidores vulneráveis de Microsoft Exchange e SharePoint, além de terem operado os seus próprios sites de internet – entretanto desativados.
Depois de entrarem no equipamento da vítima, o grupo tira partido de malware que está disponível de forma pública para explorar o sistema. Por serem ferramentas ‘comuns’, torna-se mais difícil para os investigadores e forças de segurança perceberem quem as está a usar.
De acordo com a ESET, este grupo ‘assina’ as suas vítimas com palavras únicas em inglês, como “blue”, “press”, “green”, “finance”, “water”, “baby” (azul, imprensa, verde, finanças, água, bebé, em tradução livre) para conseguir distinguir as informações oriundas dos muitos dispositivos aos quais estão ligados de uma única vez.
É ainda instalado um programa que funciona como uma espécie de ‘porta das traseiras’ através da qual os atacantes mantêm ligação à máquina, algo que no mundo da segurança é conhecido como backdoor. E ao contrário de outros grupos de piratas informáticos, que automatizam as operações, a APT15 é conhecida por executar manualmente os comandos nos computadores infetados para roubar informação.
O grupo esforça-se depois por ficar indetetável. “O principal objetivo dos ataques da APT15 é manter-se indetetável no sistema comprometido o máximo de tempo possível e usar este acesso para espionagem de longo termo”, explica a especialista eslovaca. Ou seja, quanto mais tempo estiver num sistema, mais informação conseguirá roubar.
“Eles estão nisto a longo prazo. No lado dos computadores, eles foram capazes de estar em sistemas durante anos”, detalha Justin Albrecht, da Lookout.
Para não serem detetados, os hackers tiram muitas vezes partido de falhas em aplicações legítimas e reconhecidas como de confiança pelo sistema operativo e pelas ferramentas de segurança. Ou seja, estão dentro de um software que é de confiança a exfiltrar informação do dispositivo das vítimas. “Eles são metódicos. A sua atividade é direcionada, nós normalmente não vemos muitas amostras [de malware], quando comparado com outros grupos que nós monitorizamos”, acrescenta o especialista.
Portugal na rota da China
O tema da atribuição dos ataques informáticos – descobrir, na prática, quem são as pessoas, as organizações ou os países por trás de um ataque – é um tópico muito sensível no mundo da segurança informática. Isto porque, por exemplo, um ataque que está a ser feito com máquinas localizadas nos EUA pode na realidade estar a ser operado por alguém que está em Espanha. Além disso, o crescente número de ferramentas de segurança e anonimização de dados ajudam os atacantes a minimizar e a esconder o rasto que poderá levar as autoridades até eles.
Mas no caso específico da APT15, não existem (muitas) dúvidas quanto à ligação da atividade do grupo com a China. A Microsoft diz claramente que o grupo Nickel está “baseado na China”. A Lookout também já provou que ações da APT15 foram feitas por uma empresa chinesa. Já a Mandiant, no seu vasto catálogo de APT, diz que existem suspeitas de ligação do grupo ao país asiático. Quanto à ESET, a empresa faz a atribuição em função de indicadores técnicos (como o estilo do código malicioso) e nunca atribui a atividade de grupos a países.
Justin Albrecht diz que uma das motivações deste grupo é reunir informação “sobre como os países estão a responder a um nível estratégico às políticas chinesas”.
“Não é suficiente olhar apenas para o país, tens de olhar para as relações que Portugal também tem e das organizações das quais faz parte. As relações com outros países europeus, os avanços técnicos que estão a ocorrer em Portugal, a indústria privada que possa ter relações partilhadas com a China ou com algumas das suas iniciativas”, são, para o elemento da Lookout, motivos que podem explicar o porquê da ação da APT15 em Portugal.
Já Scott Henderson sublinha a Nova Rota da Seda (Belt and Road Initiative, em inglês), um megaprojeto que tem como objetivo criar rotas comerciais mais diretas entre a China e outros países do mundo, através de infraestruturas como portos e ferrovias, como ‘motor’ para muitas das atividades de ciberespionagem associadas àquele país.
“É muito importante, estratégica e financeiramente, fazer com que a iniciativa Nova Rota da Seda avance para a Europa, que imaginamos que é para onde muitos dos seus bens vão ser movidos. Ver a Europa a ser atacada está realmente em linha com o que consideramos uma das direções estratégicas da China”, destaca o responsável. “E antecipamos que isso vá continuar”.
