A espionagem internacional nem sempre envolve malware sofisticado e vulnerabilidades de dia zero. Às vezes, basta simplesmente fingir ser outra pessoa e pedir um favor.
Durante quatro anos, um engenheiro aeroespacial chinês fez exatamente isso. Dezenas de investigadores da NASA, das Forças Armadas dos EUA e de grandes universidades forneceram-lhe exatamente o que ele pediu, tendo possivelmente violado as leis dos EUA nesse processo.
O seu nome é Song Wu. Está na lista de procurados do FBI desde setembro de 2024, acusado de 14 crimes de fraude eletrónica e 14 crimes de roubo de identidade agravado, e continua a monte.
O trabalho diário de Wu era como engenheiro na Aviation Industry Corporation of China (AVIC), um conglomerado estatal do setor aeroespacial e de defesa com sede em Pequim e mais de 400 000 funcionários. Os EUA incluíram a AVIC e várias das suas subsidiárias numa lista de sanções.
O seu negócio paralelo era mais simples. Entre janeiro de 2017 e dezembro de 2021, Wu criou contas de e-mail fazendo-se passar por investigadores e engenheiros norte-americanos reais e, em seguida, enviou e-mails aos seus colegas a pedir código-fonte e software proprietário. Ele visou funcionários da NASA, da Força Aérea, da Marinha, do Exército e da FAA, bem como docentes de universidades em todo o território dos EUA.
Quando o software é uma arma
As aplicações que Wu procurava dizem respeito à engenharia aeroespacial e à dinâmica de fluidos computacional. Trata-se do tipo de propriedade intelectual que ajuda a desenvolver mísseis táticos avançados e a avaliar o desempenho das armas, e está claramente abrangida pelos controlos de exportação dos EUA, de acordo com o Gabinete do Inspetor-Geral da NASA. Partilhá-la com a pessoa errada, mesmo que por acidente, constitui uma infração federal.
Algumas vítimas transmitiram o código solicitado. Estavam, nas palavras cuidadosas do OIG, a violar «sem saber» a legislação em matéria de controlo das exportações.
Como uma campanha de quatro anos acabou por fracassar
Não foi um firewall que detetou o Wu. Foi uma denúncia.
A Divisão de Crimes Cibernéticos da NASA recebeu uma denúncia de que alguém tinha criado uma conta no Gmail, fazendo-se passar por um conceituado professor de engenharia aeroespacial que colaborava frequentemente com a NASA. A partir dessa única pista, os investigadores desmantelaram uma campanha que tinha vindo a visar discretamente dezenas de investigadores em todo o governo federal e no meio académico.
O OIG também assinalou os indícios reveladores: Wu solicitou o mesmo software várias vezes e nunca explicou por que razão precisava dele. São sinais que qualquer pessoa teria percebido numa tarde tranquila, se estivesse atenta.
O que vem a seguir
A campanha de Wu funcionou durante quatro anos recorrendo apenas a contas de e-mail falsas e a uma pesquisa de público-alvo bem feita. Ele é apenas um engenheiro, mas o problema é muito maior do que ele.
O então diretor do FBI, Christopher Wray, afirmou perante a Select da Câmara dos Representantes, em 2024, que:
«A República Popular da China tem um programa de pirataria informática maior do que o de todas as outras grandes nações juntas.»
hackers chineses hackers superar em número o pessoal cibernético do FBI numa proporção de 50 para 1, mesmo que todos os agentes cibernéticos dos EUA se dedicassem exclusivamente a essa tarefa, afirmou ele.
A engenharia social continua a ser um problema, e os impostores estão a tornar-se cada vez mais convincentes graças ao uso da deepfake . Os criminosos online estão a utilizar a clonagem de voz e até deepfake para se infiltrarem nos seus alvos, fazendo-se passar por candidatos a emprego. Outros, por sua vez, invertem o cenário, publicando mensagens no LinkedIn como se fossem recrutadores LinkedIn induzir potenciais candidatos a descarregar malware.
O spear-phishing já era um problema grave quando se tratava de um único indivíduo em Pequim com uma conta do Gmail. Vai tornar-se um problema muito maior quando o próximo Wu utilizar IA generativa para redigir os e-mails, imitar o estilo de escrita de um investigador real e aplicar o esquema a uma velocidade vertiginosa em milhares de caixas de entrada.
Navegue como se ninguém estivesse a ver.
VPN Malwarebytes Privacy VPN a sua ligação e nunca regista o que faz, para que a próxima notícia que ler não pareça dirigida a si.Experimente gratuitamente →
