Por Rita Li
Investigadores identificaram ligações entre um grupo de cibercriminosos, patrocinado pelo regime chinês, e uma unidade militar no noroeste da China , que vem ameaçando a segurança cibernética de países vizinhos desde 2014.
O grupo RedFoxtrot faz parte da iniciativa de espionagem cibernética de Pequim . Eles estão ligados à Unidade 69010 do Exército de Libertação do Povo ( PLA ), que “provavelmente está interessada em reunir inteligência sobre tecnologia militar e de defesa”, de acordo com um relatório de junho do Insikt Group , uma divisão investigativa da empresa de segurança cibernética dos Estados Unidos, Recorded Futuro.
A unidade 69010, localizada em Urumqi , capital da região de Xinjiang na China , provavelmente também tem vários subordinados designados principalmente para observar as atividades militares ao longo da fronteira ocidental da China, de acordo com os investigadores.
Foram as falhas operacionais de um operador suspeito de RedFoxtrot que revelou a conexão entre a infraestrutura operacional do RedFoxtrot e o endereço físico da sede da Unidade 69010 da EPL.
Além disso, descobriu-se que a operadora anônima estava associada à antiga PLA Communications Command Academy em Wuhan.
“RedFoxtrot tem como alvo principal organizações de defesa e aeroespacial, governos, telecomunicações, mineração e pesquisa no Afeganistão , Índia , Cazaquistão, Quirguistão, Paquistão , Tajiquistão e Uzbequistão”, disse a análise.
Acredita-se que o grupo vinculado à EPL provavelmente tenha empregado suítes de malware, comumente usadas por grupos de espionagem cibernética chineses, incluindo Icefog, PlugX, Royal Road, Poison Ivy, ShadowPad e PCShare, para sequestrar os sistemas dos usuários.
Durante a tensão na fronteira entre a China e a Índia, o grupo também teve como alvo empreiteiros de defesa indianos, provedores de telecomunicações e organizações governamentais por meio de invasões em sua rede, de acordo com o relatório.
A atividade do RedFoxtrot se sobrepõe a grupos de ameaças rastreados por outros fornecedores de segurança, como Temp.Trident e Nomad Panda.
O presidente Joe Biden assinou uma ordem executiva em 12 de maio que visa prevenir ataques cibernéticos de atores estatais e cibercriminosos, após um ataque cibernético a sistemas de computador ligados à principal operadora de gasoduto dos Estados Unidos, Colonial Pipeline .
O colonial fechou temporariamente em 7 de maio, causando escassez de combustível e aumentando os preços da gasolina em vários estados dos EUA.