Espiões envolvidos em algumas das maiores campanhas de ciberespionagem da China estão usando o desaparecimento do voo MH370 da Malásia para infectar computadores de governos e de grupos de reflexão.
Dois dos ataques foram descobertos por pesquisadores da empresa de segurança FireEye, que não respondeu imediatamente aos pedidos de entrevista.
O FireEye descobriu que os ataques usavam uma versão modificada de uma ferramenta de hacking patrocinada pelo Estado chinês e chamada ‘Hera Venenosa’. Eles também rastrearam os ataques até um grupo apelidado de “Admin@338”, que esteve envolvido em campanhas anteriores de espionagem chinesa.
Os ciberespiões usaram o voo da Malásia para obter acesso. Eles enviaram e-mails para alvos específicos com um arquivo infectado aparentemente com notícias ou informações sobre o voo da Malásia. Se a vítima abrisse o arquivo, ela teria seu computador infectado com a ferramenta de espionagem deles.
Depois de ganhar acesso, eles seriam capazes de monitorar o computador da vítima, roubar arquivos, ou até mesmo observar a vítima através de uma webcam.
O grupo de ciberespiões começou seus ataques em 10 de março – dois dias depois do voo da Malásia desaparecer –, visando um governo estrangeiro não nomeado na região da Ásia-Pacífico, segundo uma análise do FireEye sobre a campanha.
Os indivíduos enviaram um e-mail para o alvo, com um arquivo anexo chamado ‘Malaysian-Airlines-MH370.doc’. Se a vítima abrisse o arquivo, os ciberespiões então teriam acesso ao computador.
Seu próximo alvo foi “um proeminente instituto de reflexão norte-americano”, segundo o FireEye, e a ferramenta de hacking estava disfarçada como um vídeo Flash.
Em outubro de 2013, o Admin@338 esteve envolvido em campanhas de ciberespionagem visando um grupo de reflexão dos EUA, o banco central de um governo da Europa Ocidental não nomeado, um funcionário do governo de alto escalão no Extremo Oriente, e vários outros alvos envolvidos no comércio e na política financeira.
O FireEye destacou que a campanha de espionagem de 2013 foi “aparentemente focada na coleta de dados relacionados ao comércio internacional, finanças e política econômica”.
Os ataques descobertos pelo FireEye não foram os únicos ataques chineses que têm aproveitado o incidente envolvendo o voo da Malásia.
A companhia de segurança Kaspersky encontrou arquivos infectados semelhantes disfarçados de informações sobre o desaparecimento do voo, que remonta a grupos por trás de algumas das maiores campanhas de espionagem da China.
Grupos chineses têm estado envolvidos em operações para espionar diplomatas, empresas com contratos militares e agências governamentais em 40 países, segundo o blog ‘Threatpost’ da Kaspersky. O ataque foi chamado de ‘NetTraveler’.
Outros ataques que grupos chineses estiveram envolvidos incluem o ‘Titan Rain’, que foi uma grande série de ataques coordenados contra o governo dos EUA, e o ‘GhostNet’, que foi uma campanha de espionagem internacional que tinha como alvo vários grupos, incluindo o governo e o gabinete tibetanos do Dalai Lama no exílio.
Embora a natureza dos ciberataques torne difícil determinar definitivamente qualquer país específico, os ataques recentes não seriam o primeiro caso de as autoridades chinesas tentando usar o voo MH370 da Malásia para promover interesses próprios.
Quando a China enviou dois navios de guerra para ajudar nos esforços de busca, o almirante Yin Zhuo da marinha do Exército da Libertação Popular sugeriu que a China construísse portos e ancoradouros nas disputadas Ilhas Spratley, para o caso da China precisar ajudar em operações de busca no futuro. Ele também usou a busca para solicitar a construção de um campo de pouso nas Ilhas Spratley.