Hackers espiões associados à China atacaram em Portugal. Centro de Cibersegurança em silêncio

Grupo de piratas informáticos é descrito como uma ameaça altamente ativa e tem um único objetivo: ficar indetetável nos sistemas das vítimas, o máximo de tempo possível, para roubar informações secretas com muito valor estratégico. Hackers atacam alvos de alto perfil, como entidades governamentais ou empresas de infraestruturas críticas. Peritos em ciberespionagem que seguem este grupo explicam os alvos e as motivações.

Um dos mais persistentes e meticulosos grupos de piratas informáticos do mundo atacou em Portugal com o objetivo de roubar informações secretas. Esta é uma das raras ocasiões na qual está documentada a atividade, em Portugal, de um dos mais conhecidos grupos de hackers associados à China e mostra como o País está no radar de um dos mais relevantes grupos de ciberespionagem internacionais.

Este grupo é conhecido por muitos nomes – Vixen Panda, Playful Dragon, Mirage, ke3chang, Nickel –, com as designações a variarem entre as organizações especializadas em monitorização de crime informático, devido à dificuldade de atribuição da autoria dos ataques. Mas existe um nome técnico que ajuda a agregar as diferentes atividades criminosas deste coletivo de piratas informáticos ao longo dos anos: Advanced Persistent Threat 15 (APT15), que em tradução livre significa Ameaça Persistente Avançada 15. O termo APT é uma designação usada pelas empresas de segurança informática para atribuir ataques a grupos que são tecnicamente avançados e trabalham com objetivos muito específicos. E há um motivo para não se ouvir falar muitas vezes deste grupo em particular – é extremamente criterioso na escolha dos seus alvos. Mas Portugal entrou no seu radar. 

Apesar de ainda não ter sido possível apurar quais foram as organizações vítimas do ataque, várias empresas de segurança informática ouvidas pela Exame Informática apontam todas no mesmo sentido – entidades do Estado, empresas de serviços e infraestruturas críticas, como da área da energia, da defesa e das telecomunicações, ou, em ocasiões mais raras, dissidentes, poderão estar entre as vítimas.

A atividade deste grupo de hackers em Portugal foi detetada e reportada pelo Centro de Inteligência de Ameaças da Microsoft no final de 2021. Segundo informações da tecnológica, que trata este grupo por Nickel, estavam a ser ativamente usados 42 domínios de internet para atacar alvos em quase 30 países. Na Europa, além de Portugal, também foram atacadas organizações em França, Reino Unido, Suíça, Itália, República Checa, Hungria, Croácia, Bósnia e Herzegovina, Montenegro e Bulgária. Os documentos submetidos pela Microsoft à justiça norte-americana revelam inclusive que existe uma ligação com Portugal em três dos domínios que o grupo estava a usar nos ataques – aparece como o país da pessoa que fez o registo dos domínios, ainda que esta informação possa ser editada e usada como técnica de despiste.

Os dados apontam na sua maioria para que o grupo tenha estado ativo em Portugal entre o final de 2020 e início de 2021, mas o primeiro ataque às vítimas poderá ter ocorrido muito antes – este grupo é conhecido por ficar nos sistemas das vítimas durante largos meses, indetetável, com o objetivo de roubar informações secretas.

Quando questionada pela Exame Informática, a Microsoft escusou-se a revelar mais detalhes sobre a atividade deste grupo em Portugal. A Exame Informática contactou também o Centro Nacional de Cibersegurança, a autoridade nacional em matéria de cibersegurança, que também não respondeu às questões colocadas.

Cristiana Kittner e Scott Henderson, da empresa de cibersegurança Mandiant, têm em conjunto 16 anos de experiência em monitorização de atividades de ciberespionagem e conhecem bem a APT15. Estes analistas não têm dúvidas quando dizem que “os alvos [deste grupo] não são escolhidos de forma aleatória”.