NAIRÓBI – Hackers chineses visaram o governo do Quênia em uma ampla série de invasões digitais que durou anos contra os principais ministérios e instituições estatais, de acordo com três fontes, relatórios de pesquisa de segurança cibernética e a própria análise da Reuters de dados técnicos relacionados ao hackers.
Duas das fontes avaliaram que os hacks visam, pelo menos em parte, obter informações sobre a dívida da nação do leste africano com Pequim: o Quênia é um elo estratégico na Iniciativa do Cinturão e Rota – o plano do presidente Xi Jinping para uma infraestrutura global rede.
“Mais concessões podem ocorrer à medida que a necessidade de entender as estratégias de reembolso futuras se torna necessária”, afirmou um relatório de pesquisa de julho de 2021 escrito por um empreiteiro de defesa para clientes privados.
O Ministério das Relações Exteriores da China disse que “não estava ciente” de tal hacking, enquanto a embaixada da China na Grã-Bretanha chamou as acusações de “infundadas”, acrescentando que Pequim se opõe e combate “ataques cibernéticos e roubo em todas as suas formas”.
A influência da China na África cresceu rapidamente nas últimas duas décadas. Mas, como várias nações africanas, as finanças do Quênia estão sendo pressionadas pelo custo crescente do serviço da dívida externa – grande parte devido à China.
A campanha de hackers demonstra a disposição da China de alavancar suas capacidades de espionagem para monitorar e proteger interesses econômicos e estratégicos no exterior, disseram duas das fontes.
Os hacks constituem uma campanha de três anos que teve como alvo oito ministérios e departamentos governamentais do Quênia, incluindo o gabinete presidencial, de acordo com um analista de inteligência da região. O analista também compartilhou com a Reuters documentos de pesquisa que incluíam a linha do tempo dos ataques, os alvos e forneceu alguns dados técnicos relacionados ao comprometimento de um servidor usado exclusivamente pela principal agência de espionagem do Quênia.
Um especialista queniano em segurança cibernética descreveu uma atividade de hackers semelhante contra os ministérios das Relações Exteriores e das Finanças. Todas as três fontes pediram para não serem identificadas devido à natureza sensível de seu trabalho.
“Sua alegação de tentativas de invasão por entidades do governo chinês não é única”, disse o gabinete presidencial do Quênia, acrescentando que o governo foi alvo de “frequentes tentativas de infiltração” de hackers chineses, americanos e europeus.
“No que nos diz respeito, nenhuma das tentativas foi bem-sucedida”, afirmou.
Ele não forneceu mais detalhes nem respondeu às perguntas de acompanhamento.
Um porta-voz da embaixada chinesa na Grã-Bretanha disse que a China é contra “ações irresponsáveis que usam tópicos como segurança cibernética para semear discórdia nas relações entre a China e outros países em desenvolvimento”.
“A China atribui grande importância à questão da dívida da África e trabalha intensamente para ajudar a África a lidar com ela”, acrescentou o porta-voz.
OS TRUQUES
Entre 2000 e 2020, a China comprometeu quase US$ 160 bilhões em empréstimos a países africanos, de acordo com um banco de dados abrangente sobre empréstimos chineses hospedado pela Universidade de Boston, grande parte para projetos de infraestrutura de grande escala.
O Quênia usou mais de US$ 9 bilhões em empréstimos chineses para financiar um esforço agressivo para construir ou modernizar ferrovias, portos e rodovias.
Pequim tornou-se o maior credor bilateral do país e conquistou uma posição firme no mercado consumidor mais importante da África Oriental e um centro logístico vital na costa africana do Oceano Índico.
No final de 2019, no entanto, quando o especialista queniano em segurança cibernética disse à Reuters que foi trazido pelas autoridades quenianas para avaliar uma invasão de uma rede governamental, os empréstimos chineses estavam acabando. E as dificuldades financeiras do Quênia estavam aparecendo.
A violação analisada pelo especialista queniano em segurança cibernética e atribuída à China começou com um ataque de “spearphishing” no final do mesmo ano, quando um funcionário do governo queniano baixou sem saber um documento infectado, permitindo que hackers se infiltrassem na rede e acessassem outras agências.
“Muitos documentos do Ministério das Relações Exteriores foram roubados e também do departamento de finanças. Os ataques pareciam focados na situação da dívida”, disse o especialista queniano em segurança cibernética.
Outra fonte – o analista de inteligência que trabalha na região – disse que os hackers chineses realizaram uma campanha de longo alcance contra o Quênia, que começou no final de 2019 e continuou até pelo menos 2022.
De acordo com documentos fornecidos pelo analista, ciberespiões chineses submeteram o gabinete do presidente do Quênia, seus ministérios de defesa, informação, saúde, terra e interior, seu centro antiterrorista e outras instituições a atividades persistentes e prolongadas de hackers.
Os departamentos governamentais afetados não responderam aos pedidos de comentários, recusaram-se a ser entrevistados ou não puderam ser contatados.
Em 2021, as consequências econômicas globais da pandemia do COVID-19 já haviam ajudado a levar um grande mutuário chinês – a Zâmbia – ao default de sua dívida externa. O Quênia conseguiu garantir uma moratória temporária de pagamento da dívida da China.
No início de julho de 2021, os relatórios de pesquisa de segurança cibernética compartilhados pelo analista de inteligência da região detalhavam como os hackers acessaram secretamente um servidor de e-mail usado pelo Serviço Nacional de Inteligência (NIS) do Quênia.
A Reuters conseguiu confirmar que o endereço IP da vítima pertencia ao NIS. O incidente também foi coberto por um relatório da empresa de defesa privada analisado pela Reuters.
A Reuters não conseguiu determinar quais informações foram obtidas durante os hacks ou estabelecer conclusivamente o motivo dos ataques. Mas o relatório do contratante de defesa disse que a violação do NIS possivelmente visava obter informações sobre como o Quênia planejava administrar seus pagamentos de dívida.
“Atualmente, o Quênia está sentindo a pressão desses encargos de dívida… já que muitos dos projetos financiados por empréstimos chineses ainda não estão gerando renda suficiente para se pagarem”, afirmou o relatório.
Uma revisão da Reuters de registros da Internet delineando a atividade de espionagem digital chinesa mostrou que um servidor controlado pelos hackers chineses também acessou um serviço compartilhado de webmail do governo queniano mais recentemente, de dezembro de 2022 a fevereiro deste ano.
As autoridades chinesas se recusaram a comentar sobre essa violação recente e as autoridades quenianas não responderam a uma pergunta sobre isso.
‘DIPLOMACIA DE FUNDO’
O contratante de defesa, apontando para ferramentas e técnicas idênticas usadas em outras campanhas de hackers, identificou uma equipe de hackers ligada ao estado chinês como tendo realizado o ataque à agência de inteligência do Quênia.
O grupo é conhecido como “BackdoorDiplomacy” na comunidade de pesquisa de segurança cibernética, devido ao seu histórico de tentar promover os objetivos da estratégia diplomática chinesa.
De acordo com a empresa de segurança cibernética ESET, com sede na Eslováquia, o BackdoorDiplomacy reutiliza software malicioso contra suas vítimas para obter acesso às suas redes, tornando possível rastrear suas atividades.
Fornecido pela Reuters com o endereço IP dos hackers do NIS, a Palo Alto Networks, uma empresa de segurança cibernética dos EUA que rastreia as atividades do BackdoorDiplomacy, confirmou que pertence ao grupo, acrescentando que sua análise prévia mostra que o grupo é patrocinado pelo estado chinês.
Pesquisadores de segurança cibernética documentaram hacks do BackdoorDiplomacy direcionados a governos e instituições em vários países da Ásia e da Europa.
As incursões no Oriente Médio e na África parecem menos comuns, tornando o foco e a escala de suas atividades de hackers no Quênia particularmente dignos de nota, disse o relatório do contratante de defesa.
“Este ângulo é claramente uma prioridade para o grupo.”
A embaixada da China na Grã-Bretanha rejeitou qualquer envolvimento nos hackers do Quênia e não abordou diretamente questões sobre o relacionamento do governo com a BackdoorDiplomacy.
“A China é a principal vítima de roubos e ataques cibernéticos e uma firme defensora da segurança cibernética”, disse um porta-voz.
Por Aaron Ross em Nairóbi, James Pearson em Londres e Christopher Bing em Washington Reportagem adicional de Eduardo Baptista em Pequim Edição de Chris Sanders e Joe Bavier