A empresa de cibersegurança CyCraft, de Taiwan, concluiu que pelo menos sete fabricantes de semincondutores daquele país foram vítimas da operação Skeleton Key, uma ação orquestrada por um grupo de hackers a soldo do governo da China. As intrusões destinaram-se a obter o máximo de propriedade intelectual possível, ‘açambarcando’ tudo, desde código fonte a kits de desenvolvimento de software e ao design dos chips.
Os especialistas da CyCraft apresentaram as suas conclusões durante a conferência Black Hat, recusaram identificar os fabricantes em questão e frisaram evidências que ligam este grupo de hackers ao grupo conhecido Winnti, também apelidado de Barium ou Axiom. Os piratas tentaram assim manipular o poder e a posição de Taiwan “danificando fundamentalmente a capacidade de uma empresa fazer negócios (…) É um ataque estratégico a toda a indústria”, diz Chung-Kuan Chen, da CyCraft, citado pela Wired.
Os hackers terão conseguido acesso inicial às redes das vítimas através das ligações de VPN, se bem que não seja claro ainda se conseguiram-no roubando credenciais ou explorando falhas nos servidores de VPN. Depois deste acesso, foi usada uma versão personalizada da ferramenta de teste de penetração Cobalt Strike, disfarçada de ficheiro de atualização do Google Chrome e com um servidor de comando e controlo nos serviços Cloud da Google ou da Microsoft, para não levantar suspeitas. A partir daí, os piratas tentaram infetar outros sistemas de redes e desencriptar bases de dados de palavras chave para obter o máximo de informação possível.
Os investigadores explicam que uma estratégia repetida nestes ataques passou por tentar manipular os controladores de domínio, ou seja, os servidores que definem as regras para o acesso nas grandes redes. Os piratas adicionaram uma chave adicional para cada utilizador presente na memória do controlador, um truque conhecido por injeção de skeleton key, com esta chave a dar-lhes acesso a todas as máquinas de forma sub-reptícia.
As conclusões da CyCraft sobre esta operação já tinham sido publicadas em abril, mas foi só agora que foram reveladas as ligações com a China. Os especialistas conseguiram descobrir este rasto ao piratear os próprios piratas, acompanhando uma interceção e usando o mesmo token para aceder ao servidor cloud usado pelos hackers. Há ainda indícios de que este grupo ou outro semelhante tenha usado a mesma tática para entrar em computadores das agências governamentais de Taiwan.
