Ataques cibernéticos empreendidos contra o governo e empresas de tecnologia e telecomunicações de Israel, entre 2019 e 2020, não foram orquestrados por hackers iranianos, como se imaginava inicialmente. Os verdadeiros responsáveis são chineses do grupo UNC215, conforme informa reportagem da revista MIT Technology Review.
Os hackers chineses deixaram inúmeros rastros, alguns óbvios demais, sugerindo que os autores do ataque eram do Irã. Por exemplo, eles se comunicavam no idioma Farsi e largaram pelo caminho arquivos com Irã no nome. Paralelamente, trataram de proteger a verdadeira identidade, ocultando a infraestrutura usada no ataque.
O esquema foi descoberto pela empresa de segurança digital norte-americana FireEye, que atuou sob a gestão das forças armadas israelenses.
Segundo John Hultquist, vice-presidente de inteligência de ameaças da FireEye, uma das formas de identificar o invasor em casos semelhantes é avaliar ferramentas e método usados na invasão. Eles funcionam como uma espécie de impressão digital e invariavelmente apontam na direção certa. “Sempre há peças que expõem a operadora ou seu patrocinador”, diz ele.
O que também ajudou a identificar o UNC125 é o alvo, pois o grupo habitualmente empreende ataques no Oriente Médio e na Ásia, sempre com foco em interesses financeiros e políticos da China. E tais alvos são incompatíveis com os habitualmente atingidos por hackers iranianos conhecidos.
“Você pode despistar de forma significativa, mas, em última análise, deve direcionar o ataque ao que lhe interessa”, diz Hultquist. “Isso fornecerá informações sobre quem você é onde estão seus interesses”.
Existe, claro, a opção de focar em alvos que não são de fato do interesse dos hackers. Nesse caso, o problema é o maior volume de ataques, o que paralelamente aumenta a possibilidade de deixar rastros. No caso dos chineses, a própria tática de despiste era conhecida e ajudou a confirmar as suspeitas dos investigadores.
O ataque foi o primeiro em grande escala realizado por chineses contra Tel Aviv. E ocorreu em meio aos bilionários investimentos em Israel através da Nova Rota da Seda (Belt and Road Initiative), uma iniciativa de Beijing para espalhar sua influência através do financiamento de projetos globais voltados sobretudo a infraestrutura e transporte.
Apesar de os invasores terem sido identificados, não é possível afirmar com segurança que o governo chinês está por trás do ataque. Afinal, o ataque digital é terceirizado, deixando a culpa para o grupo hacker, e não para o mandante. Questionado, o governo chinês disse apenas que “se opõe firmemente e combate todas as formas de ataques cibernéticos”.