Grupos de hackers suspeitos de ligação com os governos da China e da Coreia do Norte realizaram uma série de ataques do tipo ransomware contra governos e empresas do setor de infraestrutura de diversos países entre 2021 e 2023. Um dos alvos dos chineses foi a Presidência da República do Brasil, segundo relatório das empresas de segurança cibernética Recorded Future e SentinelLabs.

“Nossas descobertas indicam que o ChamelGang, um grupo APT (ameaça persistente avançada, da sigla em inglês) suspeito de ser chinês, teve como alvo a grande instituição de saúde indiana AIIMS (Instituto de Ciências Médicas da Índia, da sigla em inglês) e a Presidência do Brasil em 2022 usando o ransomware CatB. As informações de atribuição desses ataques não foram divulgadas publicamente até o momento”, diz o relatório.

Ataques do tipo ransomware, como o que teria atingido o governo brasileiro, normalmente bloqueiam arquivos e dados de um sistema, e os invasores só liberam o acesso novamente após o pagamento de um resgate. O governo inclusive confirmou o problema através do serviço de acesso à informação, atendendo à indagação de um indivíduo não identificado.

“A Secretaria-Geral da Presidência da República, por intermédio da Diretoria de Tecnologia da Secretaria Especial de Administração, informou que, no dia 01 de novembro, ferramentas de segurança de rede detectaram a presença de malware (tipo comum de software malicioso) em algumas estações de trabalho, tendo neutralizado suas ações”, diz a resposta do governo, sugerindo que não houve danos.

Embora não afirmem categoricamente que o grupo de hackers ChamelGang, também conhecido como CamoFei, atue a serviço do governo chinês, os autores do relatório dizem que as suspeitas apontam nesse sentido.

“Operações de ciberespionagem disfarçadas de atividades de ransomware fornecem uma oportunidade para países adversários reivindicarem negação plausível ao atribuírem as ações a atores cibercriminosos independentes em vez de entidades patrocinadas pelo Estado”, diz o documento.

O relatório afirma que a Política Federal passou a investigar o caso, mas indica que a abordagem das autoridades em casos assim é inadequada. “O compartilhamento insuficiente de informações entre as organizações policiais locais que normalmente lidam com casos de ransomware e agências de inteligência pode resultar em oportunidades perdidas de inteligência, avaliação de risco inadequada e consciência situacional diminuída”, diz o texto.

O mesmo grupo suspeito de ter atacado o governo brasileiro foi acusado, em setembro de 2021, de realizar uma ação maliciosa contra outro país próximo a Beijing: o da Rússia. De acordo com a empresa russa de tecnologia digital Positive Technologies, o alvo na ocasião teria sido uma companhia do setor de aviação que, assim como no caso brasileiro, alega ter neutralizado a ação dos hackers.

Resposta chinesa

Questionada pelo site Cyberscoop, a Embaixada da China em Washington, nos EUA, respondeu através de seu porta-voz Liu Pengyu e disse que Beijing “se opõe firmemente e combate ataques cibernéticos e roubos cibernéticos em todas as formas.”

Pengyu afirmou, ainda, que “identificar a origem dos ataques cibernéticos é uma questão técnica complexa”, colocando em dúvida as informações contidas no relatório.

“Esperamos que as partes relevantes adotem uma atitude profissional e responsável e sublinhem a importância de ter provas suficientes ao identificar incidentes cibernéticos, em vez de fazerem especulações e alegações infundadas”, acrescentou o porta-voz.