Chineses copiaram código hacker americano para usá-lo contra os EUA

Revelação foi feita em uma publicação no site da empresa israelense de segurança cibernética Check Point Software Technologies Ltd.

Por Da Redação Atualizado em 12 mar 2021, 15h58 - Publicado em 22 fev 2021, 11h02

Imagem em silhueta de uma pessoa teclando em um computador, com a bandeira chinesa ao fundo — Microsoft e autoridades americanas acusam hackers ligados ao Estado chinês de acessar e-mails do governo. (Ilkaydede/Getty Images)

Uma publicação no site da empresa israelense de segurança cibernética Check Point Software Technologies Ltd. revelou que os chineses copiaram um código desenvolvido pela Agência de Segurança Nacional dos Estados Unidos (NSA) para utilizá-lo em operações de ataque virtual. O texto foi ao ar nesta segunda-feira, 22.

No artigo, os pesquisadores israelenses mostram como um grupo chinês de hackers (APT31) clonou e usou ativamente o código de malware, chamado EpMe, de um grupo americano de hackers (Equation Group), suspeito de estar ligado à NSA. Ambos os códigos exploram uma vulnerabilidade do Windows então desconhecida, para aumentar os privilégios do invasor na máquina infectada.

A versão americana do spyware foi clonada pelo grupo chinês em 2014 para formar o que os israelenses chamaram de Jian – o nome alude a uma faca chinesa de dois gumes, sugerindo que esse tipo de ferramenta pode ser usado tanto por quem o criou como por seus inimigos. Esta versão clonada chinesa, por sua vez, foi usada até pelo menos 2015, quando finalmente foi descoberta e corrigida em março de 2017. A clonagem foi relatada à Microsoft pela equipe de resposta a incidentes de computador da Lockheed Martin, sugerindo um possível ataque contra um alvo americano.

Em outra publicação no site da empresa, Eyal Itkin e Itay Cohen contam a história de como os chineses usaram o malware criado pelos americanos contra alvos dos EUA. Entre 2016 e 2017, o grupo Shadow Brokers publicou alguns dos códigos mais sensíveis da NSA na internet, permitindo que cibercriminosos e nações rivais adotassem ferramentas digitais de invasão feitas pelos americanos.

Continua após a publicidade

Não está claro como o Jian analisado pelo Checkpoint foi usado. Em um comunicado publicado em 2017, a Microsoft sugeriu que estava ligada a uma entidade chinesa que apelidou de “Zircônio”, que no ano passado foi acusada de atacar organizações e pessoas envolvidas nas eleições nos EUA, incluindo funcionários da campanha presidencial do então candidato democrata Joe Biden.

A Checkpoint diz que Jian parece ter sido criado em 2014, pelo menos dois anos antes dos Shadow Brokers fazerem sua primeira aparição pública. Isso, além de uma pesquisa publicada em 2019 pela Symantec sobre um incidente semelhante, sugere que a NSA perdeu o controle de seus próprios spywares ao longo do tempo.