Ferramenta roubada da NSA foi usada por criminosos chineses por anos

Um novo relatório divulgado pela empresa de segurança digital Check Point aponta que cibercriminosos chineses tiveram acessos a ferramentas de hacking exclusivas da NSA, pelo menos, a partir de 2014. O vazamento teria ocorrido a partir de um grupo de desenvolvimento de softwares de invasão que trabalha diretamente para o governo dos Estados Unidos, com um software que dava acesso a redes privadas e permitia que um atacante elevasse seus privilégios em uma infraestrutura.

• Hacker está vendendo ferramentas de espionagem da NSA
• Falha no Windows expõe milhares de usuários a ferramentas de espionagem da NSA
• Hackers denunciam espionagem financeira global realizada pela NSA

A data é de extrema importância no relato dos especialistas, já que a ideia é que agentes teoricamente a serviço do governo da China já tinham acesso a softwares de invasão que seriam exclusivos do governo americano antes mesmo do grande vazamento de ferramentas desse tipo, em 2016. Mais de um ano antes, porém, pelo menos uma dessas ferramentas, batizada de Jian, já estava nas mãos de um grupo malicioso conhecido como Judgment Panda, Zirconium ou APT31, com ligações às agências de segurança do país asiático.

A exploração envolve uma brecha zero-day, daquelas que são desconhecidas até mesmo aos desenvolvedores originais dos softwares ou sistemas operacionais, no Windows. Essa vulnerabilidade foi fechada apenas em 2017, depois do vazamento de kits de hacking da NSA, obra de um segundo grupo de criminosos conhecido como Shadow Brokers. Agora, porém, se sabe que a abertura serviu para dar mais destaque a um tipo de comprometimento que já vinha acontecendo há algum tempo.

De acordo com o relatório da Check Point, existem indícios de que o Jian tenha sido usado contra empresas americanas, com a Lockheed Martin sendo um dos possíveis alvos. A companhia do ramo aeroespacial foi uma das responsáveis por, em 2017, flagrar a utilização das ferramentas da NSA por criminosos chineses, o que levou à descoberta do vazamento pelas mãos dos Shadow Brokers. Mais do que isso, para os especialistas, os responsáveis pela utilização das ferramentas também as teriam retrabalhado para evitar novas detecções e explorar mais vulnerabilidades em sistemas operacionais, servidores e serviços de rede.

Originalmente, a Jian é obra do Equation Group, que desenvolve ferramentas de hacking altamente especializadas a serviço direto da NSA. Claro, a ferramenta não possuía esse nome, que foi dado à versão customizada, criada pelos membros do Judgment Panda a partir do software original. Segundo os pesquisadores, algumas partes do código são idênticas às da aplicação original, enquanto outras foram customizadas para aumentar seu poder de fogo ou escapar de detecção.

Ainda segundo o relatório, fica difícil saber como os criminosos obtiveram acesso à ferramenta da NSA, mas falha na segurança de servidores privados usados pelo Equation Group ou o uso em tentativas de ataque a infraestruturas chinesas podem ter sido o caminho. A descoberta aconteceu por meio da comparação de assinaturas entre diferentes ameaças, que levaram os especialistas a encontrarem similaridades entre a Jian e ferramentas do grupo que trabalha para o governo americano.

A trama se complica

A afirmação da Check Point, entretanto, está sendo contestada em partes por outros membros da comunidade de segurança. Jake Williams, que já trabalhou em operações digitais para NSA e, hoje, tem uma empresa de cibersegurança chamada Rendition Infosec, afirma que existe a possibilidade de a Jian ter se originado de ferramentas criadas pelo próprio governo da China, tomadas pela NSA em um ataque e, na sequência, recuperadas novamente.

De acordo com ele, em entrevista à Wired, a análise da Check Point leva em conta as datas de compilação do código-fonte da exploração, que podem ser fraudadas. Além disso, ele afirma que existe certo olhar enviesado por parte dos especialistas, enquanto as operações podem ser ainda mais profundas do que o relatado, indicando ainda a existência de um terceiro grupo por trás do desenvolvimento dos softwares.

Seja como for, a conclusão levanta, novamente, a discussão sobre o uso governamental de ferramentas de invasão que se aproveitam de brechas desconhecidas até mesmo aos desenvolvedores originais do software. Não é a primeira vez que softwares que exploram vulnerabilidades zero-day aparecem em mãos erradas, e nem deve ser a última, com a privacidade dos cidadãos acabando na mira após deslizes das agências de segurança.

Neste caso específico, porém, não existem motivos para temores, desde que, claro, todos os sistemas estejam atualizados. Comentando o caso, a Microsoft reafirmou que as explorações descobertas em 2017, após o vazamento proporcionado pelos Shadow Brokers, já foram corrigidas e que os usuários estão protegidos contra tais ameaças.

Fonte: Wired