Localização da sede da Unidade 61398
Mandiant
As vítimas costumam apelidá-los de “Comment Crew” ou “Shangai Group”. E os nomes dados estão em inglês por um motivo simples: as vítimas são invariavelmente organizações, empresas ou o próprio governo dos EUA. Do que se queixam estas vítimas? Do desvio de dados com as mais variadas tipologias e graus de confidencialidade. Um estudo da empresa de segurança informática e antiespionagem eletrónica Mandiant acaba de deixar todo o setor boquiaberto: centenas de TeraBytes foram desviadas de instituições norte-americanas pelos denominados «Comment Crew» ou «Shangai Group». O volume dados usurpados pelos hackers dá que pensar, mas essa até nem é a revelação mais estrondosa: segundo a Mandiant quase todos os ataques foram levados a cabo a partir de um único edifício de 12 andares, algures nos arredores de Xangai, China.
Na estrada de Datong, nos arredores de Xangai, as alcunhas «Comment Crew» ou «Shangai Group» são desconhecidas. Em contrapartida, toda a população local conhece o Exército de Libertação do Povo da China (ELPC) – e haverá ainda um grupo de pessoas restrito que saberá o que é a Unidade 61398, ainda que dificilmente o confesse abertamente.
Para a Mandiant, não há muitas dúvidas: a Unidade 61398 é um braço da ciberespionagem do ELPC e opera a partir de um edifício branco e mal cuidado, na já referida estrada de Datong. À volta não há complexos militares nem outras infraestruturas que geralmente constam nos guiões de cinema – apenas lojas de vinhos, locais de massagens e restaurantes.
«Das duas uma: ou os ataques provêm da Unidade 61398 ou então as pessoas que gerem as redes de Internet mais controladas e monitorizadas do mundo ainda terão de arranjar uma explicação para o facto de milhares de pessoas lançarem ataques a partir deste bairro», comenta Kevin Mandia, diretor executivo da Mandiant quando inquirido pelo The New York Times.
Além da Mandiant, também o National Intelligence Estimate, que representa as 16 agências de segurança dos EUA, já lançou o alerta para a existência de milhares de ciberespiões do ELPC ou mesmo em regime de outsourcing que atacam de forma concertada redes informáticas dos EUA. Coca-Cola, redes elétricas, circuitos de água e gás – todos eles terão sido alvo de ataques bem sucedidos da Unidade 61398. Há mesmo registos de um ataque a uma firma que tem uma quota de mercado maioritária na gestão de oleodutos. E nem a empresa de segurança RSA terá escapado aos “códigos indiscretos” dos exército de ciberespiões que opera a partir dos subúrbios de Xangai.
No total, terão sido perpetuadas 141 intrusões desde 2006. Mais de 3000 números de IP terão sido usados nos ataques. Mais de 90% dos ataques terão sido originados a partir do bairro onde se encontra a sede da Unidade 61398.
O governo chinês nega qualquer responsabilidade e reitera que é contra qualquer tipo de atividade de hacking. Como prova disso mesmo relembra a legislação que proíbe estritamente qualquer atividade cibersubversiva.
A Casa Branca não terá ficado convencida com a resposta do governo chinês ao The New York Times (que também foi atacado recentemente por hackers chineses, mas não pela Unidade 61398). Na semana passada a administração Obama assinou uma iniciativa legal que prevê a partilha de informação com ISP; em paralelo deverá seguir um crescendo de denúncias junto de responsáveis políticos e militares chineses.
Segundo o The New York News, o estudo da Mandiant só foi possível devido à cooperação de várias empresas que foram vítimas de ataques. Através de tecnologias próprias, a Mandiant conseguiu seguir as pegadas digitais e apurar os dados que foram desviados por cada hacker depois de entrar numa rede informática crítica dos EUA. Foi através deste processo que a Mandiant ficou em condições de distinguir dois hackers entre um contingente de milhares que estão ao serviço do governo chinês: UglyGorilla, um especialista em desenvolvimento de pacote de códigos maliciosos que começou a dar que falar em 2007; e um hacker apelidado de «DOTA» que terá criado várias contas de e-mails para disseminar malware. Ambos recorreram a números de IP usados no bairro da sede da Unidade 61398.
