Como resultado do estudo, o Wall Street Journal descobriu que o ataque ao Cloud Hopper foi muito mais extenso do que se pensava anteriormente.
Os hackers pareciam estar escondidos em todos os lugares.
Em uma das maiores tentativas de organização da espionagem industrial, havia rumores de que os atacantes haviam trabalhado em conjunto com a inteligência chinesa nos últimos anos roubando grandes quantidades de propriedade intelectual, detalhes sobre o acesso a informações classificadas e outros registros de muitas empresas. Eles tiveram acesso a sistemas que contêm os segredos da exploração da Rio Tinto, bem como a pesquisas médicas não públicas da gigante empresa de eletrônicos e assistência médica Philips.
Eles entraram nos sistemas por meio de provedores de serviços em nuvem - exatamente as nuvens em que as empresas armazenavam seus dados na esperança de sua segurança. Tendo penetrado em tal serviço, os hackers podiam se mover de forma anônima e livre de um cliente para outro, e durante anos resistiram às tentativas dos pesquisadores de expulsá-los de lá.
Pela primeira vez, os pesquisadores de segurança cibernética descobriram sinais de hackers em 2016 e os nomearam como Cloud Hopper. Em dezembro passado, os promotores norte-americanos
culparam dois cidadãos chineses por isso. Os suspeitos ainda não estão detidos.
Um estudo do Wall Street Journal descobriu que, de fato, a escala desse ataque é muito maior do que se pensava anteriormente. Ele vai muito além das 14 empresas não nomeadas listadas na acusação; estende-se a vários provedores de nuvem de pelo menos dez, incluindo o CGI Group Inc., um dos maiores provedores canadenses; Tieto Oyj, uma importante empresa finlandesa de TI; e International Business Machines Corp.
O WSJ reuniu informações sobre hackers e contra-ataques realizados por empresas de segurança e governos ocidentais, entrevistou mais de dez investigadores, examinou centenas de páginas de documentação interna e investigações de empresas e dados técnicos relacionados a invasões.
O WSJ descobriu que na Hewlett Packard Enterprise Co. tudo estava tão ruim que a empresa na nuvem nem percebeu a entrada de hackers na rede do cliente e deu uma luz verde a todos os clientes.
Dentro das nuvens, um grupo de hackers, que autoridades e pesquisadores ocidentais apelidaram de APT10, obtiveram acesso a um enorme conjunto de clientes. Um estudo do WSJ encontrou centenas de empresas que trabalham com provedores de nuvem afetados, incluindo Rio Tinto, Philips, American Airlines Group Inc., Deutsche Bank AG, Allianz SE e GlaxoSmithKline PLC.
O diretor do FBI Christopher Ray leu a acusação de dois cidadãos chineses no ataque do Cloud Hopper em 20 de dezembro de 2018A questão de se os hackers permanecem dentro das redes de empresas até hoje continua sendo uma questão em aberto. O WSJ examinou os dados fornecidos pelo SecurityScorecard e encontrou centenas de endereços IP em todo o mundo que continuaram transmitindo dados para a rede APT10 de abril a meados de novembro.
De acordo com autoridades atuais e ex-autoridades, as autoridades dos EUA, incluindo o Departamento de Justiça dos EUA, estavam preocupadas se foram vítimas desses ataques e se esses ataques estavam dando ao governo chinês acesso a infraestrutura crítica. Em 2019, a Reuters
informou sobre certos aspectos de interesse para o projeto de espionagem cibernética chinesa.
Agora, o governo dos EUA alega que o APT10 conseguiu roubar casos detalhados de mais de 100.000 funcionários da Marinha dos EUA.
Marinheiros da Marinha dos EUA assistem aeronaves EA-18 GrowlerPesquisadores, do governo e de terceiros, afirmam que muitas das maiores empresas de nuvem tentaram manter os clientes no escuro sobre o que está acontecendo em suas redes. "Foi como tentar parar a areia movediça", disse um pesquisador.
Os funcionários do Departamento de Segurança Interna dos EUA estão tão frustrados com a resistência das empresas de nuvem que hoje estão trabalhando na revisão de contratos federais para forçar as empresas a se submeterem a sensoriamento futuro, como dizem algumas pessoas familiarizadas com o assunto.
Um porta-voz do Departamento de Segurança Interna dos EUA não respondeu à questão de saber se o ministério havia sido invadido. O Ministério da Justiça também não respondeu ao pedido.
O porta-voz da HPE, Adam Bauer, disse que a empresa "trabalhou duro para corrigir o impacto dessas invasões em nossos clientes" e acrescentou que "a segurança dos dados do usuário é nossa principal prioridade".
"Negamos completamente todas as alegações da mídia de que a HPE não cooperou com o governo com todo zelo possível", disse Bauer. "Todas essas alegações são mentiras descaradas."
O porta-voz da IBM, Edward Barbini, disse que a empresa estava investigando os incidentes com agências governamentais relevantes e acrescentou que “não temos evidências de comprometimento de dados corporativos sensíveis. Trabalhamos individualmente com todos os clientes que manifestaram preocupação. ”
Esses hackers demonstram a vulnerabilidade existente no centro dos negócios globais - afinal, as maiores empresas do mundo armazenam volumes cada vez maiores de informações confidenciais sobre as capacidades dos provedores de nuvem que há muito se orgulham de sua segurança.
Muitas empresas contatadas pelos editores do WSJ se recusaram a divulgar se foram atacadas. A American Airlines disse que recebeu uma notificação da HPE em 2015 de que "seus sistemas estavam envolvidos em um incidente de segurança cibernética" e que "não encontraram nenhuma evidência de comprometimento de sistemas ou dados".
A Philips disse que a empresa estava ciente das tentativas de hackers que poderiam estar associadas às atividades do APT10 e que "hoje todas essas tentativas foram adequadamente suprimidas".
Um porta-voz da Allianz disse que a empresa "não encontrou evidências" da presença do APT10 em seus sistemas.
GlaxoSmithKline, Deutsche Bank, Rio Tinto e Tieto não comentaram. O CGI não recebeu resposta a vários pedidos. O governo chinês também não respondeu ao pedido. No passado, ele já negou acusações de hackers.
Fantasmas
Os pesquisadores dizem que o Cloud Hopper se tornou a nova tecnologia do APT10 (Ameaça Persistente Avançada, um dos grupos de hackers chineses mais esquivos. “Lembra daquela velha piada sobre por que você precisa roubar um banco? Disse Anne Newberger, chefe da diretoria de segurança cibernética da Agência de Segurança Nacional. "Porque o dinheiro está lá."
Os APT10s relacionados à segurança foram rastreados por mais de uma década, enquanto os últimos encaminharam governos, empresas de engenharia, empresas aeroespaciais e telecomunicações. Muitas informações sobre essa equipe permanecem secretas, embora os promotores americanos tenham sugerido que pelo menos vários de seus membros trabalhem no Departamento de Segurança Interna da China.
Para invadir os serviços na nuvem, os hackers às vezes enviavam e-mails de phishing aos administradores com um alto nível de acesso. Às vezes eles os invadiram através de sistemas de contratados, dizem os pesquisadores.
Rio Tinto foi um dos primeiros alvos e um coelho experimental, a julgar pelas alegações de duas pessoas familiarizadas com este caso. A empresa envolvida em cobre, diamantes, alumínio, minério de ferro e urânio foi invadida pelo provedor de nuvem CGI em 2013.
Mina de Rio Tinto em Harrow, Califórnia.O que os hackers conseguiram obter é desconhecido, mas um dos pesquisadores familiarizados com este caso disse que essas informações podem ser usadas para comprar imóveis nos locais onde as empresas de mineração planejam iniciar o desenvolvimento.
Orin Palivoda, um agente especial do FBI que investiga o Cloud Hopper, disse em uma recente conferência de segurança em Nova York que a equipe do APT10 trabalhava como fantasmas nas nuvens. Eles "pareciam essencialmente todo o resto do tráfego", disse ele. "E esse é um grande, grande problema."
Chris McConkie, pesquisador sênior de segurança cibernética da subsidiária da PricewaterhouseCoopers em Londres, foi um dos primeiros a descobrir o escopo das operações do APT10. Durante uma auditoria de segurança de rotina em uma empresa de consultoria internacional no início de 2016, pontos vermelhos apareceram subitamente em suas telas, indicando um ataque em massa.
No início, sua equipe decidiu que esse ataque era apenas um caso isolado incomum, pois os hackers penetravam na nuvem, e não na própria empresa. No entanto, eles começaram a encontrar um padrão semelhante com outros clientes.
"Quando você percebe que existem muitos desses casos - e que os atacantes realmente entendem o que tiveram acesso e como abusar -, você entende a seriedade das possíveis conseqüências", disse McConkie. Ele não nomeou empresas ou fornecedores específicos.
A equipe de McConkie - um grupo desativou o acesso a bandidos, o outro coletou informações sobre penetrações e avaliou para onde os hackers ainda poderiam ir - trabalhou em um piso seguro, acessível apenas em elevadores separados.
Chris McConkieEles aprenderam que os hackers trabalhavam em equipes. A equipe de terça-feira, como McConkie chamou, visitou os serviços para garantir que todos os nomes de usuário e senhas roubados ainda funcionassem. Outro grupo costumava aparecer depois de alguns dias e roubava dados do alvo.
Às vezes, os hackers usavam as redes das vítimas como locais de armazenamento de dados roubados. Uma empresa descobriu posteriormente que armazena informações de pelo menos cinco empresas diferentes.
Nos primeiros meses do trabalho, o grupo McConkie começou a compartilhar informações com outras empresas de segurança, que também começaram a encontrar fantasmas. Os invasores às vezes provocavam caçadores, registrando nomes de domínio para suas campanhas, como gostudyantivirus.com e originalspies.com.
"Não vi apenas os grupos chineses do APT zombando dos pesquisadores de maneira tão agressiva", disse Mike Maclellan, diretor de pesquisa de segurança da Secureworks. Ele acrescentou que, algumas vezes, o APT10 geralmente inclui frases ofensivas em seu malware.
Uma das vítimas mais significativas de hackers foi a HPE, cujos serviços em nuvem para serviços de negócios serviam dados de milhares de empresas de dezenas de países. Um de seus clientes, a Philips, gerencia 20.000 TB de dados, incluindo grandes quantidades de informações relacionadas a pesquisadores clínicos e dados de aplicativos para pessoas com diabetes, conforme indicado em um vídeo publicitário publicado no Twitter da HPE em 2016.
O APT10 é um problema sério para a HPE desde pelo menos 2014 - e a empresa nem sempre informa aos clientes a gravidade do problema com suas nuvens, de acordo com pessoas familiarizadas com este tópico.
Gabinete de servidor na HP Enterprise em Boeblingen, Alemanha.Para complicar, os hackers obtiveram acesso à equipe da empresa responsável por relatar incidentes cibernéticos, como dizem várias pessoas familiarizadas com o caso. Enquanto a HPE trabalhava para limpar infecções, os hackers monitoraram a empresa e entraram nos sistemas limpos, iniciando um novo ciclo, como disse uma das pessoas mencionadas.
"Trabalhamos diligentemente para eliminar as consequências da invasão até estarmos convencidos de que eliminamos completamente os traços de crackers no sistema", disse Bauer, porta-voz da HPE.
No processo, a HPE liderou a divisão de nuvem em uma empresa separada, a DXC Technology. A HPE informou em registros públicos da época que não havia brechas de segurança que implicassem custos de material.
O porta-voz da DXC, Richard Adamonis, disse que "não houve incidentes de segurança cibernética que afetariam adversamente os ativos tangíveis da DXC ou de seus clientes".
Um porta-voz da Philips disse que os serviços prestados pela HPE "não estão relacionados ao armazenamento, gerenciamento ou transferência de dados do paciente".
Rejeitar
As primeiras respostas realmente sérias começaram a tomar forma em 2017. Uma equipe crescente de combatentes se juntou a várias empresas de segurança, provedores de nuvem afetados pelos ataques e dezenas de vítimas.
As empresas de nuvem, que inicialmente se recusaram a compartilhar informações, mudaram de idéia e começaram a cooperar depois de serem pressionadas pelos governos ocidentais, como disseram várias pessoas familiarizadas com a situação.
Para começar, os pesquisadores adicionaram entradas falsas aos calendários dos executivos da empresa nos sistemas de vítimas, para que os hackers tivessem a falsa impressão de que os executivos estavam saindo no fim de semana. Isso foi feito para que os hackers acreditassem que a empresa não suspeitava de nada. Os pesquisadores se conectaram repentinamente aos sistemas fora do período normal de trabalho do hacker e cortaram drasticamente seu acesso fechando as contas comprometidas e isolando os servidores infectados.
O APT10 logo voltou, atacando novas vítimas, incluindo várias empresas financeiras.
Um dos novos objetivos é a IBM, que oferece serviços em nuvem para muitas empresas da Fortune 500, bem como para agências governamentais dos EUA, como o Escritório de Serviços Gerais, o Departamento do Interior e o Exército.
Estande da IBM na feira CeBIT em Hannover, Alemanha, 2018.Um porta-voz geral da gerência de serviços disse que a agência trabalha com várias empresas de nuvem, conhece o Cloud Hopper e "está lidando com ameaças à segurança". O Departamento do Interior dos EUA e o Exército dos EUA não comentaram a situação.
Muito pouco se sabe sobre o que aconteceu na IBM. Os hackers aprenderam a se esconder melhor e redirecionaram seus ataques através de cadeias de vários servidores. As autoridades dos EUA descreveram um sentimento de pânico que os invadiu em 2017 e 2018, quando souberam dos novos hacks realizados pelo APT10. A situação se tornou tão crítica que eles tiveram que emitir um aviso público de que hackers haviam se infiltrado nas infraestruturas mais importantes do país, incluindo TI, energia, saúde e manufatura.
O governo Trump está ponderando há vários meses como será o caso contra hackers, o que pode ser dito ao público e como isso afetará a troca. Ex-oficiais dos EUA familiarizados com o estudo dizem que inicialmente esperavam impor sanções contra os chineses associados ao ataque e nomearam meia dúzia de cidadãos chineses, incluindo alguns chineses diretamente relacionados à inteligência do país.
Como resultado, apenas duas pessoas foram nomeadas. Informantes próximos disseram que uma operação como o Cloud Hopper requer o maior número possível de pessoas, incluindo desenvolvedores, operadores de penetração e linguistas para trabalhar com materiais roubados.
Destes dois, há pouca informação sobre Zhu Hua, conhecido online como Godkiller. Pesquisadores associaram outra pessoa, Zhang Shilong, conhecido como Darling Dragon, a uma conta de mídia social, que postou instruções sobre como aprender hackers.
Os dois, provavelmente, ainda estão na China e podem acabar em uma prisão nos EUA por até 27 anos por conspiração, fraude e roubo de identidade. Mas os Estados Unidos não têm um tratado de extradição com a China e os editores do WSJ não puderam contatá-los para receber comentários.
Um ex-oficial de inteligência dos EUA disse que, de acordo com os dados capturados por eles na época, os operadores chineses estavam comemorando sua repentina fama e fama.
Hoje, pouco se sabe sobre os planos de uso de dados roubados. Ao contrário de outros ataques, anúncios para a venda dessas montanhas de valiosos dados comerciais não aparecem na Internet sombria.
Os ataques do Cloud Hopper ainda estão extremamente interessados em pesquisadores federais que trabalham sobre a questão de saber se essa campanha está relacionada a outros casos de penetração significativa na infraestrutura de empresas, nas quais os chineses também eram suspeitos.
Os números finais da campanha - tanto o volume de acesso às redes quanto a quantidade exata de dados roubados - ainda não são conhecidos pelos pesquisadores ou pelas autoridades ocidentais.
Embora oficiais e empresas de segurança dos EUA digam que a atividade do APT10 diminuiu em relação ao ano anterior, a ameaça para os provedores de nuvem permanece a mesma. Pesquisadores do Google relataram recentemente que hackers, supostamente financiados pelo governo russo, tentaram invadir provedores de serviços de controle remoto, que os atacantes também escolheram como alvo.
"Eu ficaria chocado ao saber que hoje você não encontra dezenas de empresas que não suspeitam que o APT10 tenha invadido sua rede ou ainda tenham acesso a ela", disse Luke Demboski, ex-vice-promotor geral adjunto de segurança nacional, agora trabalhando com empresas que foram atacadas por vários grupos, incluindo o APT10.
“A única pergunta é o que eles estão fazendo lá? Disse McConkie. "Eles não foram a lugar nenhum." Exatamente o que eles estão fazendo no momento, não vemos. "