Ciberespionagem no mar: hackers chineses espalham pens USB infetadas em eventos

Há ataques, bem pensados e dirigidos a determinados setores da economia, que estão a fazer vítimas e muitos prejuízos. Pen drives USB distribuídas como brindes em feiras e conferências estão a ser usadas para infiltrar redes de navios e empresas, numa sofisticada operação de ciberespionagem atribuída ao grupo chinês.

Ciberespionagem: presentes envenenados

O caso começou há dois anos, quando investigadores da ESET detetaram uma campanha que utilizava pen drives infetadas com malware, distribuídas disfarçadamente como brindes em eventos do setor marítimo.

Segundo Mathieu Tartare, investigador da ESET, a operação continua ativa e tornou-se mais sofisticada. Os atacantes exploram o ambiente descontraído dos salões profissionais, onde empresas exibem produtos e oferecem brindes promocionais, para introduzir dispositivos comprometidos diretamente nas mãos de profissionais do setor.

Acreditamos que muitas dessas pen drives foram distribuídas durante conferências e feiras marítimas.

Afirmou Tartare durante as Assises de la Cybersécurité.

Um ataque persistente e com motivação geopolítica

A operação não é isolada nem recente. O grupo Mustang Panda, ligado a interesses chineses, mantém uma campanha constante contra o transporte marítimo europeu.

Inicialmente restrita à Ásia, a ofensiva expandiu-se para a Europa, com infeções confirmadas em navios-cargueiros em alto-mar.

A ESET aponta uma ligação direta entre esta operação e grandes programas estratégicos chineses, como a Belt and Road Initiative (Nova Rota da Seda) e o Made in China 2025.

O controlo da informação sobre rotas comerciais globais é hoje um ativo de valor incalculável, e os dados recolhidos por espionagem podem oferecer vantagem económica e militar.

Como as pen drives infetadas chegam às vítimas

As investigações revelam um método simples, mas eficaz. Os atacantes podem criar empresas falsas e montar stands em feiras marítimas, distribuindo pen drives com o logótipo do evento.

Em outros casos, os dispositivos são deixados em restaurantes, hotéis ou parques de estacionamento próximos das conferências, simulando brindes legítimos.

Estas pen drives contêm malware que, ao ser ligado a um computador de bordo, permite acesso remoto ou instalação de ferramentas de espionagem.

Uma pen drive com o nome e o logótipo do evento inspira confiança, e é exatamente isso que os hackers exploram.

Sublinha Tartare.

Ataques ainda ativos e difíceis de rastrear

Um dos maiores desafios é determinar quando e onde ocorre a infeção. Uma pen drive recolhida meses antes pode ser ligada a um sistema muito mais tarde, ativando o malware apenas quando o dispositivo é conectado.

A ESET continua a bloquear novas tentativas, mas confirma atividade recente dos servidores de comando e controlo ligados à Mustang Panda.

Isto indica que a campanha está longe de terminar.

Navios: alvos vulneráveis por natureza à ciberespionagem

Os sistemas informáticos dos cargueiros são especialmente sensíveis. Muitas embarcações não estão constantemente ligadas à Internet, ou usam apenas ligações via satélite, o que dificulta a deteção imediata do ataque.

Quando um navio se liga à rede, o malware pode já ter operado durante dias ou semanas sem ser descoberto.

A verdadeira ameaça não é a pen drive em si, mas o facto de alguém a aceitar como presente.

Conclui o especialista em ciberespionagem.