Uma nova pesquisa sugere que uma ferramenta de hacking desenvolvida pela Agência de Segurança Nacional (NSA) foi roubada anos atrás por um grupo de hackers chineses que, posteriormente, usaram a tal ferramenta contra vários alvos dentro dos Estados Unidos.

O grupo em questão é conhecido como APT 31 e seria patrocinado pelo próprio governo da China. Segundo evidências encontradas por pesquisadores da empresa israelense de segurança Check Point Research, os hackers conseguiram extrair o código de uma ferramenta da NSA em 2014, para então estudá-lo e adaptar a plataforma para operações próprias de hacking.

Os pesquisadores apelidaram a ferramenta de “Jian” que, entre os feitos alcançados, ajudou os hackers a avançar ainda mais dentro da rede ou sistema comprometido da vítima (no caso a NSA). A Check Point diz que o APT 31 usou o Jian por um período de pelo menos três anos, de 2014 a 2017, até que a Microsoft corrigisse a vulnerabilidade. Um dos alvos principais dos hackers seria a empresa de defesa Lockheed Martin, que também é a maior produtora de peças militares do mundo. Para se ter uma ideia, 95% de seu orçamento anual vem de contratos de compra realizados com o Departamento de Defesa dos EUA e agências governamentais.

Acredita-se que as armas cibernéticas da NSA tenham sido roubadas por grupos de hackers estrangeiros várias vezes antes e que, de alguma forma, esteja relacionada com o exploit recém-descoberto. O incidente mais infame ocorreu em 2017, quando algumas das plataformas mais espantosas da agência foram espalhadas na internet por um grupo que se autodenomina “Shadow Brokers” (algo como “Agentes Sombrios”, na tradução livre). Usando meios ainda desconhecidos, os invasores colocaram as mãos nas ferramentas usadas pela unidade Tailored Access Operations (também chamada de “Equation Group”), a célula hacker sofisticada da NSA responsável pelo desenvolvimento de armas cibernéticas altamente avançadas.

Assine a newsletter do Gizmodo

De acordo com os especialistas da Check Point, o Jian também é um produto do Equation Group. No entanto, há “fortes evidências” de que a ferramenta foi roubada antes do vazamento do Shadow Brokers em 2017. Isso porque os pesquisadores acreditam que a China pode ter sido capaz de interceptar ferramentas da NSA se tivesse flagrado a agência dos Estados Unidos hackeando os sistemas e máquinas chinesas.

Os pesquisadores escrevem:

“Tendo datado as amostras do APT31 para três anos antes do [vazamento] Shadow Broker, nossa estimativa é que essas amostras de exploit do Equation Group (ou seja, uma das ferramentas cibernéticas da NSA) poderiam ter sido adquiridas pelo grupo chinês APT 31 de uma destas maneiras:

  • Capturadas durante uma operação de rede do Equation Group em um alvo chinês;
  • Capturadas durante uma operação do Equation Group em uma rede de terceiros que também foi monitorada pelo grupo APT 31;
  • Capturadas pelo APT 31 durante um ataque à infraestrutura do Equation Group.”

O suposto grupo de hackers por trás do Jian é conhecido por se especializar em roubo de propriedade intelectual. O grupo também usa apelidos coloridos, como “Zircônio” e “Panda do Julgamento”, talvez para despistar investigações mais robustas. A companhia de segurança FireEye afirma que os hackers possuem uma ampla gama de alvos, incluindo “governos, organizações financeiras internacionais e organizações aeroespaciais e de defesa” e “alta tecnologia, construção e engenharia, telecomunicações, mídia e seguros”. O grupo também já foi vinculado a invasões de campanhas eleitorais dos EUA, incluindo a do recém-presidente eleito, Joe Biden.