Produtos chineses usados no transporte marítimo global têm sido vendidos com software de espionagem pré-instalados de fábrica. Uma vez ativados, eles começam a coletar dados e permitir que agentes chineses acessem e controlem à distância as redes de computadores infectadas.
Pesquisadores de segurança da TrapX, localizada em San Mateo, Califórnia, descobriram esta última manobra numa campanha de espionagem chinesa de escala ainda maior. O ataque, que eles apelidaram de “Zumbi Zero”, tem como alvo as redes internacionais principais do setor de transporte e logística por meio da instalação de spyware em dispositivos portáteis de escaneamento de código de barra fabricados por empresas chinesas. Estes dispositivos são usados para rastrear informações logísticas de mercadorias em trânsito.
“O nível de acesso que eles tinham ao sistema era de 100%. Eles podiam fazer o que quisessem”, disse Carl Wright, gerente-geral da TrapX, em entrevista por telefone. Isto significa que os scanners portáteis são apenas uma maneira de assumir o controle dos sistemas corporativos de logística e computação.
Wright, que é um ex-oficial-chefe de segurança da informação da Marinha dos EUA, disse que a natureza do ataque é preocupante. Como o ataque tem como alvo a indústria global de transporte e logística, os ciberespiões agora têm informações sobre os itens que estão sendo despachados por todo o lado e também podem alterar os dados corporativos e de envio à vontade.
Os ciberespiões podem ter acesso a todos os dados financeiros corporativos, de clientes e de navegação nos sistemas infectados. Eles também roubam uma grande quantidade de dados financeiros que, segundo a TrapX, lhes dá “consciência situacional completa” das operações de transporte e logística a nível mundial.
Nova tendência
Ainda mais grave, porém, é que essa violação ocorreu em produtos contaminados no momento da fabricação – antes que sequer fossem vendidos. Esta nova tendência em ciberespionagem introduz uma ameaça difícil de resolver.
Embora produtos de consumo tenham sido infectados pelo fabricante, Wright disse que uma fábrica chinesa instalando malware é o primeiro caso que ele sabe em que sistemas críticos foram infectados desde a origem. “Isso sempre foi algo que considerávamos, mas que nunca tivemos prova”, disse Wright. “Esta é a primeira vez que vejo isso.” A TrapX não revelou o nome da fábrica chinesa ou as vítimas do ataque.
No entanto, ela revelou o nome de uma universidade chinesa que está envolvida: a Escola Vocacional de Lanxiang, que tem uma história de ciberataques patrocinados pelo Estado chinês. Os sistemas infectados que a TrapX descobriu estavam enviando informações para uma rede conectada à escola. A escola também está associada aos ciberataques de 2010 contra o Google e está localizada a apenas alguns quarteirões da fábrica cujo malware foi instalado nos dispositivos.
Protegendo a cadeia de suprimentos
Quando Wright ainda estava no exército americano, ele participou de uma reunião em 2001 no nível de Conselho de Estado no Departamento de Defesa dos EUA. “Tivemos discussões sobre o gerenciamento da cadeia de suprimentos”, disse ele, e se poderíamos manter uma cadeia de fornecimento local e segura, ou garantir as diferentes etapas que um produto passa desde sua fabricação até a venda ao consumidor final. A conclusão foi que não podíamos. Internacionalmente, disse ele, “somos dependentes da cadeia [global] de suprimentos para tecnologia”.
Embora o problema de redes contaminadas por produtos pré-infectados seja novidade para os sistemas corporativos de alto nível, tem havido vários casos de produtos de consumo infectados. Em 16 de junho, pesquisadores da empresa de segurança alemã G Data descobriu smartphones chineses com software de espionagem embutido em seu firmware. Os telefones de uma empresa não nomeada estavam sendo vendidos em websites como Amazon e eBay.
Thorsten Urbanski, gerente de relações públicas da G Data, disse num e-mail que, embora o malware tenha sido encontrado pré-instalado em componentes de computador e pendrives, foi a primeira vez que o malware foi encontrado num firmware de telefone.
“Este smartphone [contaminado]”, disse Urbanski, “envia dados pessoais para um servidor localizado na China e é capaz de instalar secretamente aplicativos adicionais.” Usando esta brecha, disse ele, ciberespiões chineses podem “obter dados pessoais, interceptar ligações e dados bancários online, ler e-mails e mensagens de texto ou controlar a câmera e o microfone remotamente”.
Algumas ações têm sido tomadas por certos países para garantir a cadeia de suprimentos dos sistemas do governo e militares. Ao nível do governo, há “certificação e acreditação” para empresas que compõem a cadeia de suprimentos. Segundo Wright, “eles assinam grandes cheques para satisfazer esses critérios”.
Essa mesma solução não se aplica ao mercado consumidor – ou a produtos usados por grandes indústrias públicas, como o setor de transporte e logística.
Desta forma, a brecha de segurança é um dilema para a livre iniciativa e contrasta enormemente com países como a China, onde a maioria das grandes empresas tem algum nível de participação e controle do Estado.
“Quando consideramos a cadeia de abastecimento”, disse Wright, “as pessoas não têm pensado nisso de forma séria o suficiente.” Em termos de segurança da tecnologia, ele disse: “Estamos num período muito perigoso agora.”
