Há pelo menos sete anos que um grupo de ciberatacantes tem estado a roubar informação de milhares de utilizadores de redes de comunicação móvel. O alvo são os detalhes das chamadas telefónicas de alguns clientes de operadoras. Isto inclui o registo de todas as chamadas efectuadas por um aparelho (e se foram atendidas, recusadas, ou se o número estava ocupado), falhas na conexão, o local de onde foram feitas, a data, e o tempo que demoraram.

O ataque foi exposto esta terça-feira pela empresa de cibersegurança Cybereason, com sede em Boston, EUA. Os investigadores dizem que a entidade por detrás dos ataques recorre a técnicas já usadas pela China e – com a excepção de deixar de usar telemóvel – não há nada que os utilizadores possam fazer. Não foram reveladas as empresas afectadas.

“A beleza ou tragédia destes ataques, dependendo do ponto de vista, é que não acontece nada nos telemóveis dos utilizadores. É um ciberataque sem ciberataque”, disse ao PÚBLICO Amit Serper, responsável de segurança da Cybereason. Há nove meses que está a trabalhar a tempo inteiro no caso a que a sua equipa chama de Operation Soft Cell. “Tudo acontece nos servidores das empresas de telecomunicação, por isso não há nada que as pessoas possam fazer.”

Serper acredita, no entanto, que o registo de chamadas não tem muito interesse para o utilizador comum. “Os atacantes não têm acesso ao conteúdo das conversas. O tipo de dados que estão a ser roubados só são úteis para agências de informação de países”, clarificou Serper que, no passado, trabalhou para o Ministério de Defesa de Israel. “Por vezes, quando se quer ‘chegar a alguém’, é preciso chegar a alguém próximo primeiro. Ao saber interpretar registos extensivos sobre os destinatários mais frequentes das chamadas, e as conversas que demoram mais tempo, pode-se descobrir o núcleo próximo de contactos de alguém.”

Origem chinesa ou manobra de diversão?

No total, o grupo da Cybereason encontrou provas de roubo de dados a dez redes de telecomunicação móvel. Apenas 20 indivíduos foram alvo de espionagem prolongada, mas os atacantes têm acesso a dados de milhares de milhões de utilizadores, mesmo que não os estejam a utilizar. Os profissionais da Cybereason não divulgam a identidade das pessoas afectadas, nem sequer os operadores em causa – mas notam que foram afectadas redes de telecomunicação na Europa, Médio Oriente, Ásia e África.

“As entidades que precisam de ter a informação estão informadas”, avançou Serper. “Com base nos dados que recolhemos, podemos dizer que a Operation Soft Cell tem estado activa desde 2012. As tácticas detectadas são geralmente associadas às do grupo chinês APT10.”

O APT – (sigla inglesa para Ataque Persistente Avançado) – número dez foi primeiro encontrado em 2009 e está associado a ataques recorrentes à NASA e à IBM. No passado, os investigadores encontraram ligações entre o grupo e o Ministério de Segurança do Estado da República Popular da China.

"Quero deixar bem claro que isto não é uma acusação”, frisou Serper. “As tácticas usadas estão desactualizadas e datam de 2010. Isto quer dizer que ou a China está a utilizar ferramentas antigas, para evitar revelar as novas, ou que é outra agência a passar-se pela China. Uma coisa é certa, a origem vem de um Estado”. E acrescentou: “Dado o alcance enorme e o tipo de serviço que oferecem, os operadores de telecomunicação tornaram-se uma infra-estrutura crítica para a maioria das potenciais mundiais.”

Nos últimos treze anos, o número de subscritores de telemóveis quadruplicou: há mais subscrições activas em redes móveis do que pessoas. De acordo com a GSMA, o órgão que representa os interesses das operadoras de redes, há mais de oito mil milhões de contas móveis activas, embora apenas 67% dos habitantes do mundo usem telemóvel.

A porta de entrada dos atacantes da Operation Soft Cell são redes de telecomunicação que usam sistemas informáticos desactualizados, ou trabalhadores que caem em esquemas de phishing – uma popular táctica de engenharia social em que os atacantes usam emails falsos (por exemplo, em nome de um banco) para convencer alguém a fornecer credenciais de acesso.

Responsabilizar operadoras móveis

A responsabilidade, explica a equipa de investigadores, é das empresas de telecomunicações móveis que devem realizar auditorias mais regulares e ter sempre os sistemas informáticos actualizados.

“Estamos a divulgar parte dos resultados porque, embora tenhamos contactado todas as dez empresas de telecomunicação envolvidas, obtivemos poucas respostas antes de tornar o caso publico”, admitiu Serper. “Antes ignoravam o nosso contacto, ou agradeciam, mas depois esqueciam-se de vir às reuniões… Há motivos para isto, claro. Somos uma empresa de segurança, e as operadoras podem pensar que só queremos vender. Espero que agora vejam que o assunto é mais sério.”

Não há países do continente americano entre os países alvo de ataque da Operation Soft Cell. Ainda assim, as suspeitas do grupo Cybereason podem ajudar a sustentar as preocupações do presidente norte-americano Donald Trump de que a China quer utilizar redes de telecomunicação para espiar outras nações.

Recentemente, Trump incluiu a gigante chinesa das telecomunicações Huawei numa lista negra de empresas com quem empresas dos EUA não podem ter negócios por representarem um risco de segurança nacional.