Um grupo de piratas informáticos afirma ter extraído mais de dez petabytes de informações altamente confidenciais do Centro Nacional de Supercomputação da China, localizado na cidade de Tianjin. A confirmar-se, este incidente pode muito bem representar a maior falha de segurança de sempre em infraestruturas críticas chinesas. O ataque comprometeu dados de mais de seis mil entidades controladas pelo Estado, com implicações severas para a segurança nacional e para o segredo industrial do país asiático.
A notícia avançada pela CNN e citada pela Tom’s Hardware refere que o volume de informação roubada é colossal, uma vez que um petabyte equivale a mil terabytes. O centro de Tianjin é uma instalação centralizada de computação de alto desempenho que apoia milhares de clientes em sectores vitais como a investigação científica, indústria e defesa. A concentração de operações de múltiplas organizações num único local significa que uma invasão destas proporções consegue expor material de várias instituições em simultâneo, em vez de afectar apenas um ministério ou uma empresa isolada.
Segredos militares e industriais expostos
O grupo responsável pela intrusão, que dá pelo nome de FlamingChina, começou a divulgar amostras dos ficheiros num canal da rede social Telegram em Fevereiro. De acordo com a Cybersecurity News, o material partilhado inclui documentos de defesa altamente sensíveis e dados de design de mísseis. Os analistas que tiveram a oportunidade de rever partes da fuga de informação indicam que os ficheiros expostos mostram a etiqueta de “secreto” em chinês, o que atesta a gravidade da situação.
Entre os documentos encontram-se manuais de engenharia, resultados de simulações e modelos renderizados ligados a sistemas de armamento, como bombas e mísseis de última geração. O arquivo integra ainda investigação associada a organizações de peso, como a Corporação da Indústria de Aviação da China (AVIC), a Corporação de Aeronaves Comerciais da China (COMAC) e a Universidade Nacional de Tecnologia de Defesa. O conteúdo abrange múltiplas disciplinas, desde a engenharia aeroespacial à bioinformática, passando pela modelação de fusão e outras áreas que exigem simulações em supercomputadores para executar tarefas complexas.
O método por trás do ataque prolongado
A escala desta alegada invasão levanta questões pertinentes sobre a identidade e as capacidades técnicas dos atacantes. Extrair dez petabytes de dados sem alertar as autoridades exige competências excepcionais, dedicação e muito tempo. Segundo os próprios piratas informáticos, o acesso inicial aconteceu através de um domínio VPN comprometido. A partir daí, os atacantes utilizaram uma rede de computadores infectados para infiltrar os sistemas e extrair os ficheiros de forma silenciosa.
Em vez de transferir a informação em massa, o grupo distribuiu a exfiltração por múltiplos sistemas e moveu quantidades mais pequenas ao longo de cerca de seis meses para evitar a detecção pelas ferramentas de segurança. Este método baseia-se mais na exploração da arquitectura do sistema do que em técnicas avançadas de intrusão. Este tipo de incidentes de grande escala tem vindo a tornar-se uma ameaça global constante, à semelhança do que aconteceu recentemente quando grupos maliciosos conseguiram roubar centenas de gigabytes de dados a instituições da União Europeia.
Venda de dados e implicações globais
O acesso a partes deste conjunto de dados está a ser vendido por milhares de dólares em criptomoedas em fóruns obscuros, muitas vezes apenas acessíveis através de um browser configurado para redes anónimas. O acesso total ao arquivo tem um preço fixado em centenas de milhares de dólares. O site Cybersecurity News nota que a publicação de amostras encaixa na táctica habitual dos cibercriminosos, que utilizam a divulgação parcial para construir credibilidade, atrair compradores e aumentar a pressão antes que as autoridades consigam verificar a extensão total do incidente.
Processar e analisar dez petabytes de dados requer recursos informáticos significativos que não costumam estar disponíveis para indivíduos ou pequenos grupos de piratas informáticos. Devido a esta exigência de capacidades de computação, a análise detalhada do conjunto de dados acaba por ficar limitada a governos ou grandes organizações internacionais. Os investigadores questionados pela CNN sugerem que, embora os governos mundiais possam mostrar interesse nestas informações, alguns já podem possuir os dados através de outros meios de espionagem.
Embora as autoridades chinesas e os observadores externos ainda não tenham verificado de forma independente a totalidade do arquivo, vários especialistas em cibersegurança afirmam que as amostras parecem autênticas. Os dados que o grupo disponibiliza coincidem com o que seria de esperar de uma instalação centralizada de supercomputação chinesa. Se o ataque for real, o incidente sublinha as fraquezas contínuas na cibersegurança das infraestruturas críticas da China. Isto significa que tecnologias secretas podem acabar nas mãos de governos estrangeiros ou organizações terroristas, que podem utilizar estas informações para prejudicar não só a China, mas também outros países, o que pode alterar drasticamente o panorama da segurança global.
