Suspeita de hack na China tem como alvo a mídia indiana, governo: relatório

As autoridades chinesas têm negado sistematicamente qualquer forma de hacking patrocinado pelo Estado e afirmam que a própria China é um dos principais alvos de ataques cibernéticos.

Em seu relatório, o Grupo Insikt sugeriu que o ataque cibernético poderia estar relacionado a essas tensões na fronteira. (Imagem Representacional)

Uma empresa de segurança cibernética privada com sede nos Estados Unidos disse na quarta-feira que descobriu evidências de que um conglomerado de mídia indiano, um departamento de polícia e a agência responsável pelo banco de dados de identificação nacional do país foram hackeados, provavelmente por um grupo chinês patrocinado pelo Estado.

O Insikt Group, a divisão de pesquisa de ameaças da Recorded Future, com sede em Massachusetts, disse que o grupo de hackers, com o nome temporário de TAG-28, fez uso do malware Winnti, que é compartilhado exclusivamente entre vários grupos de atividades patrocinados pelo estado chinês.

As autoridades chinesas têm negado sistematicamente qualquer forma de hacking patrocinado pelo Estado e afirmam que a própria China é um dos principais alvos de ataques cibernéticos.

A denúncia tem a possibilidade de aumentar o atrito entre os dois gigantes regionais, cujas relações já foram seriamente prejudicadas por uma disputa de fronteira que gerou confrontos neste e no ano passado.

Em seu relatório, o Grupo Insikt sugeriu que o ataque cibernético poderia estar relacionado a essas tensões na fronteira.

No início de agosto de 2021, os dados do Recorded Future mostram um aumento de 261% no número de operações cibernéticas chinesas patrocinadas pelo Estado, visando organizações e empresas indianas já em 2021 em comparação com 2020, disse a organização em um relatório.

O Insikt Group disse que detectou quatro endereços IP atribuídos à empresa de mídia Bennett Coleman And Co. Ltd. em comunicações de rede sustentadas e substanciais com dois servidores Winnti entre fevereiro e agosto.

Segundo a agência, cerca de 500 megabytes de dados estão sendo extraídos da rede da empresa privada de Mumbai, cujas publicações incluem The Times of India.

Insikt disse que não conseguiu identificar o conteúdo desses dados, mas observou que a empresa publica frequentemente relatórios sobre as tensões China-Índia e que o hack foi provavelmente motivado pelo desejo de acesso a jornalistas e suas fontes, bem como conteúdo de pré-publicação de potencialmente artigos prejudiciais.

Rajeev Batra, CIO da Bennett Coleman, disse que a empresa também recebeu informações sobre a suspeita de hack do CERT-In, a agência governamental que lida com ameaças de segurança cibernética, e respondeu a ela há várias semanas.

A maioria dos dados estava na categoria de consultas DNS, que foram bloqueadas / descartadas em nossa infraestrutura de defesa, disse ele em um comentário por e-mail. A própria investigação da empresa sobre o hack classificou o incidente como alertas não graves e alarmes falsos, disse ele.

O Insikt Group disse que também observou cerca de 5 megabytes de dados transferidos de forma semelhante do departamento de polícia do estado de Madhya Pradesh, cujo ministro-chefe, Shivraj Singh Chouhan, pediu um boicote aos produtos chineses depois dos confrontos de fronteira com a Índia em junho de 2020.

O departamento de polícia não respondeu imediatamente a um e-mail pedindo comentários.

Enquanto o grupo estava investigando o hack de Bennett Coleman, ele disse que também identificou um acordo em junho e julho da Autoridade de Identificação Única da Índia, ou UIDAI, a agência governamental que supervisiona o banco de dados de identificação nacional.

Nesse caso, ele detectou cerca de 10 megabytes de dados baixados da rede e quase 30 megabytes carregados, possivelmente indicando a implantação de ferramentas maliciosas adicionais da infraestrutura do invasor.

Ele sugeriu que esse banco de dados poderia ser usado por hackers para identificar alvos de alto valor, como funcionários do governo, permitindo ataques de engenharia social ou enriquecendo outras fontes de dados.

A UIDAI disse à Associated Press que não tinha conhecimento de uma violação da natureza descrita.

A UIDAI possui um sistema de segurança robusto e bem projetado em várias camadas, e o mesmo está sendo constantemente atualizado para manter o mais alto nível de segurança e integridade de dados, disse a agência.

A Recorded Future disse que todas as vítimas dos hacks foram notificadas antes da publicação do relatório e informadas sobre suas descobertas completas.