Como os cibercriminosos chineses usam o manual de negócios para renovar a clandestinidade
Prefácio
Devido à sua longevidade e sofisticação técnica, o submundo cibercriminoso russo tem sido a referência para pesquisadores de ameaças focados no estudo de táticas e técnicas de crimes cibernéticos; há uma infinidade de publicações dedicadas a analisar sua economia e fóruns de hackers. No entanto, apenas alguns estudos se concentraram nas ameaças e tendências emergentes de outros clandestinos cibercriminosos, menos proeminentes.
Dados recentes mostram que os lucros do cibercriminoso chinês ultrapassaram US $ 15,1 bilhões em 2017, causando mais de US $ 13,3 bilhões em danos relacionados à perda de dados, roubo de identidade e fraude . Ao longo dos anos, o McAfee Advanced Programs Group (APG) observou que grupos de atores não estatais chineses se transformam gradualmente de pequenas redes locais direcionadas principalmente a empresas e cidadãos chineses a grandes grupos criminosos bem organizados, capazes de invadir organizações internacionais.
O desenvolvimento de kits de ferramentas de exploração em escala comercial e redes criminosas que se concentram na monetização de malware ampliou os riscos crescentes de crimes cibernéticos na região Ásia-Pacífico para incluir um ataque DDoS contra o Banco Popular da China em dezembro de 2013 , um ataque SWIFT de US $ 1 bilhão contra Banco de Bangladesh em fevereiro de 2016 e um roubo de US $ 60 milhões do Far Eastern International Bank em Taiwan em outubro de 2017, para citar apenas alguns.
Este blog fornece uma visão rara do interior do submundo cibercriminoso chinês. A análise de seus modelos e técnicas de negócios atuais trouxe informações sobre as mudanças drásticas em suas operações, incluindo as táticas e estratégias que está emprestando dos cibercriminosos russos.
Cronologia: A ascensão do submundo cibercriminoso chinês
A China estabeleceu sua primeira conexão a cabo com a rede mundial de computadores em 1994, na mesma época em que sindicatos de crimes cibernéticos da Rússia e outros grupos criminosos cibernéticos emergentes estavam executando seus primeiros grandes crimes cibernéticos . Desde então, os líderes chineses priorizaram o desenvolvimento e a aceleração das tecnologias da Internet e, hoje, o tamanho do uso da Internet na China é enorme e inigualável, com 800 milhões de usuários .
No entanto, esse crescimento no uso da Internet não é isento de ironia, pois foi acompanhado por um aumento significativo na atividade de criminosos cibernéticos. Apesar do governo chinês dar grande importância à administração de um dos sistemas de censura da Internet mais sofisticados do mundo, os cibercriminosos locais estão encontrando soluções alternativas que contribuem para que a China tenha uma das economias underground cibercriminosas que mais crescem.
A empresa de crimes cibernéticos da China é grande, lucrativa e se expande rapidamente. De acordo com as Estatísticas de Desenvolvimento da Internet de 2018, o submundo cibercriminoso da China valia mais de US $ 15 bilhões , quase o dobro do tamanho de seu setor de segurança da informação. A mesma fonte em língua chinesa também mostra que o cibercrime da China está crescendo a uma taxa de mais de 30% ao ano. Estima-se que 400.000 pessoas trabalham em redes subterrâneas de cibercriminosos.
Mudanças em táticas, técnicas e procedimentos
Para expandir rapidamente seus negócios e maximizar o retorno do investimento (ROI), os cibercriminosos chineses adaptaram continuamente suas táticas, técnicas e procedimentos (TTPs). Uma mudança significativa é que os cibercriminosos chineses estão lentamente se afastando de um alto grau de envolvimento individual através da popular plataforma de mensagens instantâneas QQ da China para agora estabelecer redes cibercriminosas mais formais. Essas redes usam publicidade centralizada e processos de serviço padrão semelhantes aos russos e outros fóruns clandestinos cibercriminosos mais sofisticados. Os cibercriminosos podem acessar essas redes centralizadas de hospedagem na deep web para publicar seus produtos e serviços. Uma grande quantidade de dados roubados está disponível através de serviços automatizados, onde os cardantes podem solicitar as informações do cartão de crédito e débito que desejam, sem precisar interagir com outro usuário. No que diz respeito aos serviços de hackers, os cibercriminosos chineses também oferecem módulos para clientes em potencial preencherem suas solicitações de serviço, incluindo tipos de ataques, endereços IP de destino, malware desejável ou kits de ferramentas de exploração e processamento de pagamentos online. Através do estabelecimento de um modelo padronizado de venda, os cibercriminosos chineses podem expandir sua atividade rapidamente, sem incorrer em custos adicionais.
Ataques como serviço
Semelhante a outros importantes mundos do crime cibernético, os mercados clandestinos do crime cibernético chinês estão focados em fornecer um excelente serviço ao cliente. Muitos dos hackers expandem seu horário de trabalho para incluir fins de semana e até fornecem suporte técnico 24/7 para clientes que não possuem formação técnica. As botnets de negação de serviço distribuída (DDoS), vendas de tráfego, serviços de gravação de código-fonte, spam / e-mail / SMS e serviços de inundação estão disponíveis nos mercados negros chineses.
Apesar da censura do governo, um pequeno número de cibercriminosos chineses ainda usa mercados da dark web para oferecer seus serviços e produtos. Esses mercados são geralmente especializados na comercialização de informações de identificação pessoal (PII) roubadas, contas bancárias com saldos altos, serviços de hackers e personalização de malware. No entanto, esses mercados darknet ou fóruns de hackers não são facilmente acessíveis porque o governo chinês bloqueia a rede de anonimato do Tor. Um grande número de cibercriminosos chineses continua a usar grupos QQ exclusivos e opacos, fóruns do Weibo e Baidu Teiba para publicidade e comunicação. Os cibercriminosos chineses também estão ativos no clearnet. Para evitar censores e repressão do governo, os cibercriminosos chineses usam extensivamente gírias ou outras táticas linguísticas para comunicação e publicidade, o que pode ser difícil de entender para quem está de fora. Por exemplo, os cibercriminosos chineses chamam um computador ou servidor comprometido de “carne de frango”. Contas bancárias roubadas, senhas de cartão de crédito ou outras contas invadidas são chamadas de “cartas” ou “envelopes”. Sites maliciosos e contas de email usadas para ataques de phishing ou spam de credenciais são chamados de “caixas”. Informações ou detalhes roubados armazenados na parte de trás da tarja magnética de um cartão de banco são chamados de “dados”, “material de rastreamento” ou simplesmente “material”. “Sites e contas de email maliciosos usados para ataques de phishing ou spam de credenciais são chamados de” caixas “. Informações ou detalhes roubados armazenados na parte de trás da tarja magnética de um cartão de banco são chamados de “dados”, “material de rastreamento” ou simplesmente “material”. “Sites e contas de email maliciosos usados para ataques de phishing ou spam de credenciais são chamados de” caixas “. Informações ou detalhes roubados armazenados na parte de trás da tarja magnética de um cartão de banco são chamados de “dados”, “material de rastreamento” ou simplesmente “material”.
Movendo Base Operacional no Exterior
Outra tendência notável é que um número crescente de gangues criminosas cibernéticas chinesas está mudando sua base operacional para o exterior, usando criptomoedas para lavar dinheiro. Eles parecem preferir países e jurisdições com legislação fraca sobre crimes cibernéticos ou aplicação fraca, como Malásia, Indonésia, Camboja e Filipinas. Desde 2017, o Ministério da Segurança Pública da China descobriu mais de 5.000 casos de fraude de telecomunicações transfronteiriças envolvendo mais de US $ 150 milhões. Alguns dos grupos de criminosos cibernéticos são altamente estruturados e funcionam como grupos tradicionais da máfia que envolvem profissionais de TI delinqüentes; algumas gangues de crimes cibernéticos chineses estão bem estruturadas, com divisões claras de trabalho e várias cadeias de suprimentos. Os membros geralmente estão localizados nas proximidades geográficas, mesmo quando os ataques são transnacionais.
Cultura e práticas únicas
Os hackers chineses empregam diferentes métodos de pagamento, estratégias de recrutamento e estruturas operacionais de outros cibercriminosos. AliPay e transferências bancárias são os métodos de pagamento geralmente aceitos anunciados em fóruns de hackers no idioma chinês; muitos outros fóruns geralmente preferem o Monero e o Bitcoin.
O “Mecanismo de Mestre-Aprendiz”, que é uma forma de orientação, desempenha um papel significativo nas comunidades hackers chinesas. Muitos grupos de hackers chineses utilizam a estratégia para recrutar novos membros ou obter lucros. Conforme mostrado no gráfico a seguir, os mestres em grupos de hackers QQ, geralmente os idealizadores de um grupo de crime organizado ou um administrador de uma comunidade de hackers, coletam taxas de treinamento dos membros que recrutam. Esses membros, conhecidos como “aprendizes” ou “hackers em treinamento”, devem participar de várias “missões” criminais antes de concluir os programas de treinamento. Depois que o treinamento é concluído, eles são elegíveis para atualizar para hackers em tempo integral que trabalham para seus mestres e responsáveis pelas operações posteriores, como ataques direcionados, invasão de sites e exfiltração de banco de dados.
Figura 2: Mecanismo de mestre-aprendiz (fonte: autor)
Crescimento do cibercrime chinês
O submundo cibercriminoso chinês passou por mudanças drásticas ao longo dos anos. Ele gradualmente se transformou de pequenas redes locais, direcionadas principalmente a empresas ou cidadãos chineses, a grupos criminosos maiores e bem organizados, capazes de invadir organizações internacionais. Minha pesquisa indica que houve uma crescente atividade de ameaças dirigida a indivíduos e organizações na Coréia do Sul, Taiwan, Cingapura, Alemanha, Canadá e Estados Unidos. Os cibercriminosos chineses oferecem uma ampla variedade de bens e serviços, desde falsificações físicas de carteiras de motorista norte-americanas e canadenses, varreduras de carteiras de motorista americanas e canadenses falsificadas, números de telefone celular dos EUA, cartões de crédito e cartões de identificação a mídias sociais e contas de e-mail roubadas.
Figura 3: Crescimento do cibercrime chinês (Fonte: Autor)
Conforme mostrado nas capturas de tela a seguir, 1 milhão de contas de e-mails roubadas nos EUA com senhas criptografadas estão sendo vendidas por US $ 117; 1,9 milhão de contas de e-mail alemãs roubadas com senhas em texto não criptografado estão disponíveis no mercado negro chinês por US $ 400. A falsificação ou digitalização de passaportes ou carteiras de motorista dos EUA ou do Canadá também estão à venda por apenas US $ 13.
Figura 4: 1 milhão de contas de e-mail dos EUA com senhas criptografadas estão à venda no underground cibernético criminoso chinês
Figura 5: 1,9 milhão de contas de e-mail alemãs roubadas com senhas em texto não criptografado estão à venda no submundo cibercriminoso chinês
Figura 6: Cibercriminosos chineses vendem falsificação física de carteiras de motorista canadenses
Como mostrado na captura de tela a seguir, hackers chineses também estão vendendo dados pessoais roubados, incluindo cartões de identificação e passaportes de cidadãos de Taiwan e da Coréia do Sul.
Figura 7: PII roubadas de cidadãos de Taiwan, incluindo números de identificação nacional, endereços físicos, números de telefone celular, etc. estão à venda no submundo cibercriminoso chinês
Figura 8: Hackers chineses vendendo 17 milhões de números de identificação nacional da Coréia do Sul
As credenciais de login para bancos em todo o mundo estão disponíveis no mercado clandestino de criminosos cibernéticos da China e, quanto maior o saldo disponível de uma conta, maior o preço de venda. Pacotes de contas invadidas por grandes empresas de mídia social e plataformas de redes dos EUA, provedores de serviços de jogos e fornecedores de serviços de mídia são vendidos por apenas US $ 29 no mercado de crimes cibernéticos clandestinos. Às vezes, essas contas de mídia social são invadidas com a intenção de usá-las como uma maneira de gerar contas falsas para atrair ainda mais usuários da web. Um grande número de contas de e-mail de provedores de serviços de e-mail de Taiwan (@ yahoo.com.tw) e da Coréia do Sul (@ nate.com, @ yahoo.com.kr) está sendo vendido no mercado negro chinês.
Cada vez mais difícil separar o cibercrime da atividade de ciberespionagem
À medida que o submundo cibercriminoso chinês rapidamente expande seu escopo e sofisticação, fica cada vez mais difícil separar o cibercrime da atividade de espionagem cibernética. Isso é especialmente verdadeiro quando observo que os cibercriminosos chineses oferecem serviços para espionar empresas e vender mercadorias que podem ser usadas para atingir empresas ou funcionários do governo para fins de espionagem econômica e política. Um dos itens mais interessantes que encontrei à venda no submundo cibercriminoso chinês é um dossiê completo de negócios para empresas e agências governamentais chinesas. Alguns hackers chineses vendem diretórios internos de funcionários de empresas de tecnologia de alto perfil. Os cibercriminosos chineses parecem trabalhar com pessoas mal intencionadas ou contratar hackers para trabalharem como agentes secretos dentro de provedores de serviços de telecomunicações, serviços financeiros e empresas de tecnologia para roubar segredos da empresa ou outras informações proprietárias. Os documentos incluem informações detalhadas de contato de CEOs e gerência sênior das 50 principais empresas da China. Outras informações de propriedade comercial, como credenciais associadas às várias contas bancárias da empresa, histórico de financiamento, estratégias de marketing e Número de Identificação Fiscal (NIF) também estão disponíveis para venda no mercado negro. Atores mal-intencionados podem usar as informações acima mencionadas para iniciar ataques direcionados a uma empresa ou alavancar vulnerabilidades de terceiros, como serviços financeiros confiáveis, firmas de recrutamento e provedores de serviços de TI para se infiltrar em um sistema de destino. Os documentos incluem informações detalhadas de contato de CEOs e gerência sênior das 50 principais empresas da China. Outras informações de propriedade comercial, como credenciais associadas às várias contas bancárias da empresa, histórico de financiamento, estratégias de marketing e Número de Identificação Fiscal (NIF) também estão disponíveis para venda no mercado negro. Atores mal-intencionados podem usar as informações acima mencionadas para iniciar ataques direcionados a uma empresa ou alavancar vulnerabilidades de terceiros, como serviços financeiros confiáveis, firmas de recrutamento e provedores de serviços de TI para se infiltrar em um sistema de destino. Os documentos incluem informações detalhadas de contato de CEOs e gerência sênior das 50 principais empresas da China. Outras informações de propriedade comercial, como credenciais associadas às várias contas bancárias da empresa, histórico de financiamento, estratégias de marketing e Número de Identificação Fiscal (NIF) também estão disponíveis para venda no mercado negro. Atores mal-intencionados podem usar as informações acima mencionadas para iniciar ataques direcionados a uma empresa ou alavancar vulnerabilidades de terceiros, como serviços financeiros confiáveis, firmas de recrutamento e provedores de serviços de TI para se infiltrar em um sistema de destino.
Conclusão
As redes de crimes cibernéticos da China estão crescendo rapidamente em escopo e sofisticação. Comparado ao meu trabalho de pesquisa anterior sobre o cibercriminoso chinês da China de três anos atrás, os cibercriminosos chineses começaram a adotar uma abordagem sofisticada do modelo de negócios e desenvolver hierarquias complexas, parcerias e colaboração com grupos de cibercriminosos em casa e internacionalmente. Essas redes de crimes cibernéticos organizadas e em operação global estão se baseando em países com sistemas legais e aplicação da lei fracos, enquanto aproveitam ao máximo a conectividade global da Internet para atacar alvos em todo o mundo. Um número crescente de cibercriminosos chineses dessas redes aproveita a deep web para hospedar sua infraestrutura e vender bens e serviços ilegais, em vez de confiar no engajamento tradicional de ponto a ponto por meio da plataforma QQ. Para acelerar a lucratividade, a comunidade chinesa de hackers adotou táticas e técnicas semelhantes aos russos e outros importantes mercados clandestinos de crimes cibernéticos para se tornar mais estruturada e orientada a serviços. Por outro lado, as redes cibercriminosas russas são conhecidas por sua estrutura organizacional criminal multifacetada, especializada em monetizar roubo de PII e fraude financeira. No entanto, o submundo cibercriminoso da China, por outro lado, colocou maior ênfase na comunidade e no discipulado para obter ganhos financeiros. Muitas das redes cibercriminosas da China incorporam esse discipulado, também conhecido como “mecanismo de mestre-aprendiz”, em uma estratégia de recrutamento que é amplamente diferente de seus colegas russos. À medida que o cibercrime da China continua a evoluir e avançar, organizações internacionais que operam na região da Ásia-Pacífico estão enfrentando um cenário de ameaças em expansão devido à atividade de criminosos cibernéticos visando ativos de negócios de alto valor. A propriedade intelectual e o roubo de identidade também podem causar conseqüências econômicas substanciais.
Autor: Anne An