Como Xi Jinping elevou o nível de hackers da China
Do início dos anos 2000 até 2015, as equipes de hackers da China causaram estragos para empresas privadas e governos dos EUA e aliados.
Em uma série de violações de alto perfil, eles roubaram bancos de dados do governo, projetos de sistemas de armas e propriedade intelectual corporativa. Da violação do Office of Personnel Management ao Marriott , ao Equifax e a muitos , muitos outros , os guerreiros digitais da República Popular da China demonstraram todo o potencial da espionagem mediada digitalmente.
Mas se o presidente chinês Xi Jinping conseguir o que quer, essa ladainha de violações representa apenas o começo das proezas digitais da China.
Um ano após chegar ao poder em 2013, Xi começou a priorizar a segurança cibernética como uma questão de política governamental, concentrando a burocracia, as universidades e os serviços de segurança no cultivo proposital de talentos e no financiamento de pesquisas sobre segurança cibernética. Durante seu mandato, o Estado chinês sistematizou a educação em segurança cibernética, melhorou o acesso dos alunos à prática, promoveu competições de hackers e coletou vulnerabilidades para serem usadas em operações de rede contra adversários da China.
Esses investimentos estão se concretizando e, como resultado, as equipes de hackers da China estão prontas para colher os benefícios de quase uma década de cultivo de talentos e capacidades cibernéticas. Essas equipes com mais recursos e treinamento colocam as empresas em risco de comprometer ainda mais e criam um imperativo adicional para os EUA e nações aliadas melhorarem as defesas das redes governamentais.
Bootcamps de hackers da China
Nos anos 2000, os formuladores de políticas chinesas se referiam aos hackers como “os poucos talentosos”. Encontrar o talento de que os funcionários do governo precisavam era “como encontrar flores em um campo de trigo”, como disse um formulador de políticas. As acusações dos EUA contra hackers que operaram durante esse período ilustram esse ponto. O professor que gerenciava o APT40 em seu escritório na Universidade de Hainan organizou competições de segurança cibernética para encontrar hackers que poderiam ser trazidos para a equipe – até mesmo usando-os para encontrar vulnerabilidades de software. O notório APT41 inclui um desses poucos talentosos — Tan Dailin– cuja carreira remonta ao início dos anos 2000. Tan começou como um hacker patriótico trabalhando em seu dormitório em Sichuan, montando o equipamento Network Crack Program Hacker. Sua carreira acabou se tornando um hacker em tempo integral para o governo da RPC.
As habilidades e o espírito empreendedor de Tan lançaram sua carreira, mas o sucesso por iniciativa própria não escala. A China queria mais. De acordo com Xi, “a competição no ciberespaço é, em última análise, uma competição por talentos ,” suas políticas – destinadas a acabar com a caça do governo em vastos campos por flores difíceis de encontrar – mostram o quão sério ele é sobre isso.
Xi estabeleceu sua liderança na questão da segurança cibernética ao formar em 2014 o Pequeno Grupo Líder em Segurança Cibernética e Informatização. O grupo rapidamente exigiu que o Ministério da Educação avaliasse e padronizasse o conteúdo dos diplomas universitários de segurança cibernética da China. Inspirado pela Iniciativa Nacional para Educação em Cibersegurança dos Estados Unidos, um conselho de acadêmicos de universidades em toda a China criou uma lista de competências essenciais que os alunos devem ter quando se formarem em segurança cibernética. No estilo típico da RPC, eles atribuíram um código numerado ao curso de segurança cibernética: 0839. Em 2015, o Ministério da Educação lançou os padrões em todo o país e as universidades ajustaram seus currículos de acordo.
Em 2016, Xi promoveu seu Pequeno Grupo Líder – originalmente concebido como uma espécie de comitê temporário – para o Comitê de Cibersegurança e Informatização do Comitê Central do PCC (CIC). Após o lançamento, era um dos cerca de 25 desses comitês dentro do núcleo do Partido. Xi manteve a liderança do órgão.
Ao mesmo tempo, Xi lançou uma agência formal do governo em 2016, a Administração do Ciberespaço da China (CAC), para representar o trabalho da CIC para outros governos e empresas. A composição e os escritórios do CAC são os mesmos do CIC, mas é apresentado ao público estrangeiro como um órgão governamental. Essa estrutura permite que as decisões tomadas pelo Comitê Central do PCC – como lançar a repressão da China às empresas de tecnologia e forçar a saída de Didi Chuxing das bolsas de valores dos EUA – apareçam como ações de uma agência reguladora do governo, e não do Partido.
Um dos primeiros atos do CAC foi publicar uma Estratégia Nacional de Segurança Cibernética para a China. Focada em deixar de procurar flores e cultivar uma safra de talentos, essa estratégia delineou nove “tarefas estratégicas” a serem realizadas pelos formuladores de políticas. Estes variaram de aumentar a conscientização sobre segurança cibernética para melhorar o cultivo de talentos. Como acontece com muitas políticas do governo central, o documento de estratégia pública não é particularmente prescritivo sobre como realizar essas tarefas, permitindo que os governos provinciais e municipais inovem e concorram em ideias políticas.
Logo após a publicação da estratégia, duas ideias políticas provinciais chamaram a atenção do governo central. Modelado no Research Triangle Park da Carolina do Norte, a Base Nacional de Talentos e Inovação em Segurança Cibernética da Chinana cidade central de Wuhan fica na confluência de linhas ferroviárias que a tornam facilmente acessível por trem de alta velocidade para pessoas em toda a China. Aqui, as autoridades provinciais construíram o que se tornaria um amplo campus de 15 milhas quadradas, com um quarto dele dedicado à Escola Nacional de Cibersegurança, ao Laboratório de Defesa e Ofensa, ao Instituto Combinado de Pesquisa em Cibersegurança e a instalações computacionais, de armazenamento de dados e de alcance cibernético. O restante do campus oferecia incentivos fiscais para pessoas e empresas que desejassem se instalar próximo à base. Os formuladores de políticas do governo central ficaram sabendo do projeto e o transformaram em um bem nacional, com o CAC realizando uma cerimônia de assinatura para a construção da base no final de 2016.
No ano seguinte, o Big Data Cyber Range de Guiyang sofreu um destino semelhante. Iniciado como um projeto provincial em 2015, o intervalo de Guiyang agora hospeda competições de segurança cibernética, hardware industrial para hackers OT e, aparentemente, espaço de servidor suficiente para contar como “big data” (provavelmente uma barra baixa). Assim como a base em Wuhan, os formuladores de políticas em Pequim gostaram do que viram e adotaram o intervalo como um esforço nacional do governo central, batizando-o de Guiyang National Big Data Cyber Range em 2017.
No mesmo ano, esse esforço para melhorar a infraestrutura de treinamento expandiu-se além da cooptação de ativos físicos, à medida que uma nova iniciativa educacional se enraizou. Assim como a China modelou as reformas de seus diplomas de segurança cibernética na Iniciativa Nacional dos EUA para Educação em Segurança Cibernética , os formuladores de políticas em Pequim também se basearam na designação de algumas escolas dos Estados Unidos como Centros de Excelência Acadêmica em Segurança Cibernética para moldar a educação em segurança cibernética. Em 2017, a China lançou a designação de algumas escolas como Escolas de Segurança Cibernética de Classe Mundial (WCCS) oferecidas àqueles considerados como os que oferecem as melhores ofertas educacionais.
Além de sinalizar para outras universidades as qualidades e conteúdos que devem ser replicados, a designação também permite que potenciais empregadores avaliem rapidamente as competências de um egresso por associação. A designação WCCS aparentemente não confirma nenhum financiamento ou recursos adicionais, apenas prestígio. O programa reflete a certificação do Center for Academic Excellence-Cyber Operations concedida por sete agências dos EUA, incluindo a Agência de Segurança Nacional e o Departamento de Segurança Interna. A primeira parcela de premiados da China em 2017 incluiu sete universidades. Mais quatro escolas receberam o prêmio dois anos depois.
Para atrair estudantes e preencher esses programas, a China realiza milhares de competições de captura de bandeiras todos os anos. Em 2016, os melhores hackers da China estavam deixando o país para queimar vulnerabilidades de software em competições a bordo – e coletando somas impressionantes para fazer isso. Atualmente, a China realiza centenas de competições de segurança cibernética , às vezes com milhares de equipes.
Aumentar a disponibilidade de competições domésticas atende a pelo menos dois propósitos para Pequim. Primeiro, essas competições fornecem aos serviços de segurança da China um fluxo constante de vulnerabilidades para serem usadas em operações de hackers . Titãs da indústria, como o fundador da empresa de segurança Qihoo360, declararam publicamente que as vulnerabilidades de software representam um “recurso nacional” — semelhante à madeira e ao carvão. Em 2017, o Ministério de Segurança Pública da China lançou uma nova política drástica para controlar esse recurso: os pesquisadores de vulnerabilidade de software só podiam viajar para o exterior para competições estrangeiras com a aprovação expressa do ministério.
Mas o PCC também queria que os melhores hackers do país exibissem suas proezas em casa e inspirassem outros a fazer o mesmo. Para atrair estudantes universitários, o Ministério da Educação colaborou com o Centro de Avaliação de Segurança de Tecnologia da Informação da China – o 13º Bureau do Ministério de Segurança do Estado, responsável por algumas operações de hacking de MSS – para lançar a competição Ironman de Segurança da Informaçãoem 2016. A competição abrange todas as províncias da China, inclui centenas de universidades e classifica os concorrentes para que apenas as melhores escolas compitam entre si. Para capturar a magia – e compensação – das competições internacionais de segurança de software para as quais os pesquisadores de vulnerabilidades chineses não podem mais viajar, como Pwn2Own, a comunidade infosec da China lançou a Tianfu Cup em 2018. Outras competições de hackers procuraram reforçar as capacidades da China na descoberta automatizada de vulnerabilidades de software e exploração – como o DARPA Cyber Grand Challenge em que são modelados.
Para facilitar o sucesso das equipes de hackers da China, a RPC começou a exigir que os pesquisadores de vulnerabilidade de software primeiro divulgassem qualquer vulnerabilidade que encontrassem ao Ministério da Indústria e Tecnologia da Informação em até 48 horas após a descoberta. O Relatório de Defesa Digital de 2022 da Microsoft concluiu que a política levou a PRC a coletar e implantar mais 0 dias. Uma visão mais holística do ambiente político da China pode concluir que as políticas contra pesquisadores que viajam para o exterior, exigindo a divulgação de vulnerabilidades ao governo e investimentos em tecnologias para encontrar automaticamente cada vez mais vulnerabilidades de software se combinaram para criar essa tendência.
O estado de jogo
Então, onde estão os hackers estatais da China agora? Um relatório divulgado recentemente, de autoria de várias escolas de segurança cibernética de classe mundial em parceria com a Academia Chinesa de Ciências, o Ministério da Educação e a empresa de segurança cibernética Beijing Integrity Technology descreve o cenário atual. Os autores esperam que o déficit de especialistas em segurança cibernética da China caia para 370.000 até 2027 – provavelmente visto como um grande sucesso desde que as estimativas de 2017 colocam o déficit em cerca de 1,4 milhão. (A queda drástica provavelmente reflete melhores dados de pesquisa e mercado, em vez da educação repentina de meio milhão de praticantes de segurança cibernética.) Ainda assim, o jornal relata que a “produção” agregada de novos especialistas em segurança cibernética excede 30.000 por ano. No geral, os autores consideram que o sistema educacional está produzindo mais especialistas em segurança cibernética e mais bem preparados e continuam a defender que os alunos obtenham mais experiência prática.
O principal objetivo do relatório é apresentar o que os autores chamam de “Método 4+3” de habilidades e desenvolvimento de confronto cibernético — uma abordagem que harmoniza os sete anos anteriores de política pública na China. O “4” representa quatro competências-chave para profissionais de segurança cibernética: confronto real, descoberta de vulnerabilidade de software, “avaliação de impacto de combate” (provavelmente um eufemismo para avaliação de segurança) e habilidades de engenharia e desenvolvimento. O “3” representa três métodos de demonstração das 4 capacidades: competições de segurança cibernética (confronto, exercícios defensivos e descoberta de vulnerabilidade), “práticas de confronto” (prática de alcance cibernético e confronto de rede real) e “teste de multidão e resposta a incidentes” (abertura testes de segurança, prêmios de vulnerabilidade de software, competições de segurança e compartilhamento de tecnologia).
Nos próximos anos, as políticas que levaram ao Método 4+3 do relatório provavelmente produzirão a colheita de hackers que Xi pretendia produzir quando chegou ao poder. Isso significa que as equipes de hackers da China, quando consideradas como um todo, não serão mais dominadas pelos pistoleiros do passado, como Tan Dailin. Em vez disso, os defensores terão de lidar com massas de funcionários públicos anônimos, cada um especializado em um determinado conjunto de habilidades, administrado por uma burocracia que amadureceu na última década. Como tal, podemos ver muito menos grupos de atividades e IOCs emanados com sucesso da China agrupados em APTs, Pandas ou elementos da tabela periódica. Eles serão substituídos por uma coleção cada vez maior de atores não categorizados, pois as agências que gerenciam essas operações são capazes de promover discrição em escala, implementada por hackers bem treinados.
Apesar de todo o esforço que a China colocou em suas equipes de hackers, verdades fundamentais sobre a dinâmica do conflito no domínio cibernético ainda restringem suas operações. A exploração de uma vulnerabilidade pode impactar mais um país do que outro — basta comparar a exposição do governo dos EUA ao comprometimento da Solar Winds em comparação com a exposição da China ao mesmo sistema. Dependências compartilhadas — como o uso generalizado do Microsoft Windows — podem restringir algumas operações. Os formuladores de políticas da RPC há muito esperam promover um sistema operacional competitivo para o mercado chinês. Nenhum está disponível. Mesmo as tentativas da Huawei de um sistema operacional móvel doméstico são – pela minha experiência pessoal – bastante problemáticas.
Mas se a China cumprir suas ambições de um ecossistema de computação mais independente, isso poderá mudar o cenário da concorrência. Livre de dependências mútuas em hardware e software, as operações poderiam aumentar em velocidade e persistência, pois o comprometimento não significaria mais risco de retrocesso operacional. Estamos talvez a uma década de ver esses sonhos se concretizarem. Mas não faz muito menos de uma década que Xi chegou ao poder e fez das capacidades cibernéticas uma das prioridades da China.
Dakota Cary é consultor do Krebs Stamos Group, onde fornece insights para clientes sobre as equipes de hackers da China, suas capacidades e pesquisas e as políticas industriais que orientam seu comportamento.
Fonte: https://www.cyberscoop.com/