Algumas evidências sugerem que a campanha de hackers de 2021 focada na Índia e a nova violação da rede elétrica identificada pela Symantec foram ambas realizadas pela mesma equipe de hackers com ligações ao amplo grupo de espiões patrocinados pelo Estado chinês conhecido como APT41, que às vezes é chamado Panda Malvado ou Bário. A Symantec observa que os hackers cuja intrusão de hacking de rede rastreou usaram um malware conhecido como ShadowPad, que foi implantado por um subgrupo APT41 em 2017 para infectar máquinas em um ataque à cadeia de suprimentos que corrompeu o código distribuído pela empresa de software de rede NetSarang e em vários incidentes desde então. Em 2020, cinco supostos membros do APT41 foram indiciados e identificados como trabalhando para um empreiteiro do Ministério de Segurança do Estado da China conhecido como Chengdu 404. Mas ainda no ano passado, o Serviço Secreto dos EUA alertou que hackers dentro do APT41 haviam milhões roubados em fundos de ajuda da Covid-19 nos EUAum caso raro de crime cibernético patrocinado pelo Estado e que visa outro governo.
Embora a Symantec não tenha vinculado o grupo de hacking de rede que está chamando de RedFly a nenhum subgrupo específico do APT41, pesquisadores da empresa de segurança cibernética Mandiant apontam que tanto a violação do RedFly quanto a campanha indiana de hacking de rede anos antes usaram o mesmo domínio como um comando Servidor de controle e controle para seu malware: Websencl.com. Isso sugere que o grupo RedFly pode de fato estar ligado a ambos os casos de invasão de redes, diz John Hultquist, que lidera a inteligência de ameaças na Mandiant. (Dado que a Symantec não quis nomear o país asiático cuja rede o RedFly tinha como alvo, Hultquist acrescenta que pode de fato ser a Índia novamente.)
De forma mais ampla, Hultquist vê a violação do RedFly como um sinal preocupante de que a China está a mudar o seu foco para uma abordagem mais agressiva de infra-estruturas críticas, como redes eléctricas. Durante anos, a China concentrou em grande parte a sua pirataria patrocinada pelo Estado na espionagem, mesmo quando outras nações como a Rússia e o Irão tentaram violar os serviços eléctricos em aparentes tentativas de plantar malware capaz de desencadear apagões tácticos. O grupo de inteligência militar russo Sandworm, por exemplo, tentou causar três apagões na Ucrânia – dois dos quais tiveram sucesso. Outro grupo russo ligado à sua agência de inteligência FSB, conhecido como Berserk Bear, violou repetidamente a rede eléctrica dos EUA para obter uma capacidade semelhante, mas sem nunca tentar causar uma perturbação.
Dada esta mais recente violação da rede chinesa, Hultquist argumenta que agora começa a parecer que algumas equipes de hackers chineses podem ter uma missão semelhante à do grupo Berserk Bear: manter o acesso, plantar o malware necessário para a sabotagem e aguardar a ordem de entrega do carga desse ataque cibernético em um momento estratégico. E essa missão significa que os hackers da Symantec capturados na rede do país asiático anônimo quase certamente retornarão, diz ele.
“Eles têm que manter o acesso, o que significa que provavelmente voltarão para lá. Eles são pegos, se reequipam e aparecem novamente”, diz Hultquist. “O principal fator aqui é sua capacidade de permanecer no alvo – até a hora de puxar o gatilho.”
