Rede chinesa de ciberespionagem usa Twitter em ataques

Pesquisadores dos EUA e do Canadá estão rastreando uma sofisticada rede de espionagem cibernética  baseada na China, chamada Shadow, que tem como alvo computadores em vários países, incluindo os sistemas pertencentes ao governo indiano e suas bases militares.

A rede de computadores Shadow foi detalhada em um relatório divulgado nesta terça-feira (6/4) peloI nformation Warfare Monitor - projeto que envolve pesquisadores da Universidade de Toronto - e da Fundação Shadowserver. A Information Warfare Monitor é o mesmo grupo que descobriu e documentou o GhostNet, um anel de ciberespionagem semelhante, no ano passado.

O lançamento do mais recente relatório, que detalha o alcance da rede Shadow e discute alguns dos documentos roubados do governo indiano, foi veiculado pela primeira vez no jornal The New York Times.

"Fomos capazes de documentar uma outra rede comprometida. Sistemas de computadores em Portugal, o Gabinete de Dalai Lama, e as Nações Unidas, bem como numerosas outras instituições, incluindo a Embaixada do Paquistão nos Estados Unidos", escreveu em seu blog o diretor de pesquisa do SecDev chefe e pesquisador do Laboratório Cidadão da Universidade de Toronto, Nart Villeneuve.

Shadow é o último exemplo dos esforços de ciberespionagem ligados à China, incluindo os ataques contra o sistema do Google Gmail que levou a empresa norte-americana a encerrar suas atividades naquele país.

O anel de ciberespionagem por de trás da rede Shadow foi rastreado como vindo de Chengdu, na província chinesa de Sichuan. O sistema usava mídias sociais e blogs para conseguir novos computadores, comprometidos com malware.

"No total, foram encontradas três contas de Twitter, cinco contas do Yahoo Mail, em 12 grupos Google, oito blogs Blogspot, nove blogs Baidu, um Google Sites e 16 blogs em blog.com que estavam sendo usados como parte da infra-estrutura do atacante", revelou o relatório.

Estes serviços ajudaram os atacantes a contornar os esforços que poderiam ter bloqueado os acessos aos sistemas comprometidos.

"O uso de plataformas de redes sociais, blogs e outros serviços oferecidos por empresas de confiança permite que os atacantes mantenham o controle dos computadores infectados, mesmo se a ligações diretas para o comando e para os servidores estejam bloqueadas pelo firewall", afirma.

De acordo com o relatório, o foco principal dos atacantes parece ser o governo indiano. A maioria dos 44 computadores comprometidos identificados pelos pesquisadores estão na índia ou pertencem ao governo indiano e a organizações militares.

"Tendo relatado o incidente à CERT na China - entidade responsável por incidentes de segurança no país - estou ansioso para trabalhar com eles no caso", disse Villeneuve , referindo-se à China National Computer Network Emergency Response Technical Team (CNCERT) . O órgão asiático não respondeu a um pedido de comentário sobre a rede Shadow.

Vários documentos recuperados foram classificadas como "secretos", "restritos" ou "confidenciais" e oriundos do Secretariado do Conselho Nacional de Segurança da Índia e das embaixadas indianas no exterior.

A rede Shadow também coletava informações pessoais sobre os indivíduos pertencentes ao governo indiano e as organizações militares que poderiam ser utilizadas em futuros ataques, ele disse.

O relatório conclui que a Shadow foi controlada a partir da China e atribui a responsabilidade para a rede de "uma ou mais pessoas com fortes ligações com o mundo do crime no país". No entanto, não descartou a possibilidade de uma conexão entre essas pessoas e o governo chinês.