O Grupo Winnti está por trás de uma enorme operação de hackers relacionada a roubo de propriedade intelectual e espionagem industrial em três continentes. Essa afirmação vem de uma empresa de segurança cibernética israelense-americana.
Grupo Winnti executa grande operação de espionagem cibernética
O Grupo Winnti, também conhecido como APT41, Blackfly e Barium, é conhecido por operar em nome dos interesses do Estado chinês. É um termo genérico para grupos de hackers conectados que existem desde 2009 e estabeleceram um nome para si mesmos ao tentar invadir milhares de empresas em busca de propriedade intelectual.
A empresa Cybereason, com sede em Boston, com escritórios em Tel Aviv, Londres e Tóquio, disse que o grupo usou meios sofisticados e trabalhou de forma invisível para adquirir informações privadas críticas de organizações de tecnologia e manufatura nos EUA, Europa e Ásia.
O alvo do grupo tem sido os desenvolvedores de jogos asiáticos. Por exemplo, um ataque contra a Gravity, a empresa de jogos sul-coreana por trás do Ragnarok Online, um jogo de RPG online multijogador de longa data, revelou a marca registrada do grupo, de acordo com um relatório de ameaças publicado em 2020.
O Departamento de Justiça dos EUA indiciou alguns membros conhecidos da organização em 2020 por crimes de computador contra mais de 100 corporações nos EUA e em outras nações, incluindo empresas de desenvolvimento de software, fabricantes de hardware de computador, provedores de telecomunicações e empresas de jogos.
Além disso, em 2019, a Bavarian Radio & Television Network (BR) e a Norddeutscher Rundfunk (NDR), duas emissoras públicas alemãs, publicaram um relatório investigativo sobre o grupo de ameaças cibernéticas e disseram que espionam empresas selecionadas há anos.
As investigações da Cybereason
De acordo com a investigação da Cybereason, o Grupo Winnti está envolvido em roubo de propriedade intelectual em larga escala e espionagem cibernética desde pelo menos 2019 e possivelmente antes. Os pesquisadores da empresa puderam assistir em tempo real enquanto a gangue tentava coletar dados confidenciais, como detalhes de patentes e produtos, códigos-fonte, projetos de tecnologia e instruções de fabricação.
Durante a investigação, apelidada de “Operação CuckooBees”, a Cybereason descobriu uma “família de malware” anteriormente desconhecida, que incluía uma nova versão do vírus Winnti conhecido como WINNKIT, que Dahan descreveu como uma ferramenta cibernética muito poderosa de origem chinesa, provavelmente inteligência militar. E, d e acordo com a análise da empresa, o malware permitiu que os hackers realizassem reconhecimento e despejo de credenciais para extrair várias senhas e detalhes de login, permitindo que eles se movessem lateralmente pela rede.
O relatório observou ainda que os invasores conseguiram roubar dados extremamente confidenciais de servidores e endpoints cruciais pertencentes a partes interessadas de alto perfil.
O Federal Bureau of Investigation (FBI) e o Departamento de Justiça foram informados sobre as descobertas da Cybereason.
Via: News18