Vídeo: A autópsia de um incidente cibernético sob a ótica do negócio: concedendo autoridade aos analistas (Outubro 2024)
De acordo com o robusto relatório de 60 páginas de Mandiant, o APT1 é uma equipe profissional de hackers que opera na China com todo o conhecimento do governo chinês. Como o PCMag relatou anteriormente, o grupo está vinculado a pelo menos 141 ataques contra empresas desde 2006 em uma ampla gama de indústrias, roubando documentos corporativos confidenciais e lançando ataques, disse Mandiant.
O relatório contém algumas das mais extensas acusações contra o grupo de espiões cibernéticos da China, incluindo uma linha do tempo de ataques e detalhes abrangentes das técnicas e malwares usados pelo grupo. Mandiant identificou o grupo como uma unidade militar de "Operações de Rede" do Exército de Libertação Popular, conhecida como "Unidade 61398". Operando em um prédio comercial em Xangai, esse grupo provavelmente estava operando com a total bênção do governo e era, com toda a probabilidade, parte do PLA, disse Mandiant.
O relatório de Mandiant é a "arma de fumar", e expõe claramente as evidências sobre esse grupo específico da China, disse Anup Ghosh, cientista chefe da Invincea, ao SecurityWatch .
Agora podemos "retirar da mesa a demanda por 'prova conclusiva'" de que a China está por trás de alguns dos ataques recentes, como "agora o temos", disse Ghosh. "O ônus agora é que Obama e o governo levem a sério", disse ele.
Toda vez que há um incidente ou alguém é comprometido, o dedo apontado está sempre na China, e a China sempre teve essa resposta mecânica de que não faz isso, mas "este relatório coloca tudo sobre a mesa", acrescentou Ghosh.
Pode não ser algo para levar aos tribunais ainda, mas há muitas evidências acumuladas entre essas páginas.
"Nossa pesquisa corrobora muito do que foi apresentado no relatório do Mandiant APT1", disse à SecurityWatch Will Gragido, gerente sênior da RSA FirstWatch. Gragido disse que existem vários grupos de agentes de ameaças operando na China, mas não está claro "quão intimamente relacionados eles estão com o governo ou não". Embora sejam necessárias mais pesquisas para entender conclusivamente quem são os atores de ameaças e suas afiliações, a pesquisa de Mandiant "é sólida", disse Gragido.
O governo precisa agir
O relatório de Mandiant é um "plano de ação" para as organizações que não estão cientes da extensão do problema, disse Gragido. Considerando o volume de dados sugerindo que "um grupo de atores de ameaças muito específico é responsável pelo que equivale a roubo em grande escala", o relatório "deve atuar como um alerta para a indústria e para todas as partes envolvidas em reduzir esse tipo de comportamento, " ele disse.
O governo agora precisa "usar todos os níveis de diplomacia para pressionar a China a demitir nossa propriedade intelectual", disse Ghosh. Nos termos mais simples, as ações desse grupo são sinais claros de uma guerra comercial, já que a China estava "roubando sistematicamente segredos de nossas empresas", disse ele.
O relatório delineou uma séria ameaça econômica e também uma segurança. O roubo de dados de organizações federais e do setor privado é uma guerra comercial econômica clara e terá repercussões em vários setores, incluindo saúde, manufatura, produtos farmacêuticos e serviços financeiros, disse Ghosh.
O grupo também alvejou infraestrutura crítica, que seria considerada um ato de espionagem e "pré-planejamento para a guerra", disse Ghosh.
"Esta é uma ameaça à segurança nacional. Não é mais apenas econômica", disse ele.
Tendência para a divulgação completa
O relatório é inovador não apenas porque Mandiant apresentou a causa de quem é o responsável pelos ataques, mas também devido aos "tremendos detalhes" fornecidos na forma como foram realizados, John Worrall, diretor de marketing da Cyber-Ark Software, disse SecurityWatch . Saber quem é o invasor pode ser útil para projetar uma arquitetura de segurança que proteja os ativos visados, seja dinheiro, propriedade intelectual ou dados pessoais, disse Worrall.
O relatório destacou o quão crítica foi a divulgação completa quando empresas e governos são atacados. É preciso haver mais informações além de "Eu fui hackeado", para incluir "como eu fui hackeado", para que a indústria saiba quem está fazendo o hacking e o que foi usado, disse Ghosh. À medida que mais desse tipo de informação se torna pública, haverá "muito ímpeto" para pressionar e exigir responsabilidade, disse Ghosh.
Para mais informações sobre Fahmida, siga-a no Twitter @zdFYRashid.
