O Japão é a terceira maior economia do mundo. Atrai ataques cibernéticos criminosos e de estado-nação. Os efeitos desses ataques podem ser sentidos em escala global.
A principal causa de ataques cibernéticos contra sistemas de computador japoneses são a força e a qualidade de sua base de fabricação. O tamanho dos fabricantes japoneses os torna um alvo atraente para extorsão criminosa. A qualidade dos produtos japoneses torna o IP dos fabricantes um alvo atraente para invasores de estado-nação que buscam melhorar seu próprio conhecimento e economia.
A natureza e o efeito dos ataques transformam os ataques contra o Japão em eventos globais – conforme explicado em um relatório da Rapid7 (PDF) intitulado Japão e sua pegada de negócios global.
A posição geográfica e geopolítica do Japão o coloca adjacente e oposto a três dos quatro maiores manejadores mundiais de ciberataques estatais: a leste da China, ao sul da Rússia e próximo à Coreia do Norte. A China e a Rússia têm um histórico de uso de ciberespionagem para roubar propriedade intelectual para seu próprio uso militar ou econômico. A Coreia do Norte está mais preocupada em roubar dinheiro para apoiar seu governo contra as sanções globais, mas é conhecida por usar ransomware para esses fins. Tanto para dinheiro quanto para propriedade intelectual, o Japão é um alvo atraente.
Geopoliticamente, o Japão faz parte da coalizão ocidental, e tem seus próprios problemas com a Rússia na disputa territorial pelas Ilhas Curilas. Seu apoio à Ucrânia contra a Rússia provavelmente aumenta quaisquer tensões geopolíticas com a Rússia, mas há relativamente pouca evidência de retaliação geopolítica russa direta contra o Japão.
Duas possibilidades apontadas por Rapid7 incluem os ataques Killnet DDoS contra os sites de organizações governamentais japonesas e empresas do setor privado em setembro de 2022 (The Japan Times) e o ataque de ransomware anterior contra a Toyota em fevereiro de 2022. O ataque de ransomware seguiu o aviso do embaixador russo ao Japão para não apoiar sanções ocidentais sobre a Ucrânia e levou à suspeita (não prova) de que pode ter havido envolvimento do estado russo.
Fora da geopolítica, é a natureza e a importância do globalismo e da cadeia de suprimentos global que dá aos ataques contra o Japão sua relevância global. Os fabricantes japoneses têm muitas subsidiárias fora do Japão. Subsidiárias menores provavelmente são menos bem defendidas do que suas empresas-mãe e podem ser usadas como rota de entrada para invasores.
O relatório observa mais duas razões que tornam essa rota fora do Japão atraente ou aberta a invasores (criminosos e estatais). A primeira é a linguagem. O japonês é amplamente falado no Japão, mas quase em nenhum outro lugar, onde o inglês é a língua comercial global. Para invasores estrangeiros, é mais fácil redigir um e-mail de phishing convincente em inglês do que em japonês.
“Falando de modo geral”, disse Paul Prudhomme, principal analista de segurança da Rapid7 (e autor do relatório). Cibersegurança Notícias, “se você fala inglês, é mais fácil enviar a alguém um e-mail de phishing ou algum outro tipo de ataque de engenharia social”. As subsidiárias ou fornecedores estrangeiros são, portanto, uma rota usada para atacar as empresas japonesas. “Se você é uma subsidiária nos EUA ou no Reino Unido de uma empresa japonesa, pode estar em maior risco simplesmente pelo fato de falar inglês, o que facilita o phishing”.
A segunda é a natureza do globalismo e das aquisições estrangeiras. “Se a subsidiária no exterior foi uma aquisição”, continuou ele, “talvez essa aquisição veio com compromissos existentes ou algum tipo de problema de segurança existente. Essa também é uma vulnerabilidade importante.”
Os invasores de estado-nação geralmente evitam causar danos – sua principal intenção é roubar informações, geralmente da maneira mais silenciosa possível. Os criminosos operam de maneira diferente. Seu objetivo é extorquir dinheiro por qualquer meio – e o ransomware é a arma preferida. Em ataques de extorsão que incluem criptografia de TI e OT, o objetivo é interromper e resgatar o processo de fabricação.
Os fabricantes japoneses são particularmente suscetíveis a isso devido ao uso comum de ‘fabricação just in time’. Isso é considerado um processo de negócios eficiente – os suprimentos não são acumulados e armazenados até o uso, mas são entregues diretamente na linha de produção. Isso libera fundos de outra forma presos em armazéns de estoque armazenados.
A desvantagem, no entanto, é que não há reservas de estoque. Isso deixa a empresa particularmente vulnerável a ataques de interrupção de negócios – o efeito é sentido imediatamente. Mas este é apenas o começo. Se o fabricante não puder produzir novas peças, elas não poderão ser enviadas aos clientes, e esses clientes podem estar localizados em qualquer parte do mundo.
Os criminosos estão apostando que a velocidade dos efeitos negativos em larga escala de um ataque de interrupção contra a manufatura japonesa facilitará suas tentativas de extorsão.
É o tamanho da economia japonesa que torna o Japão um alvo atraente para ataques cibernéticos, mas é o globalismo que torna os efeitos desses ataques uma questão global. Os atacantes podem ser atores do estado-nação ou criminosos declarados. Eles geralmente atacam por meio de afiliadas ou subsidiárias não japonesas, mas o efeito dos ataques vai além do Japão por meio de peças de fabricação japonesas exportadas.
A maior conclusão do relatório da Rapid7 é que, independentemente da localização da sua organização, se você faz negócios com o Japão, precisa considerar as ramificações da pegada de negócios global do Japão e a postura de segurança cibernética de seu parceiro ou pai japonês. “Não consigo enfatizar isso o suficiente”, disse Prudhomme. “Com essas marcas japonesas grandes e conhecidas, os invasores geralmente perseguem as subsidiárias ou afiliadas no exterior e, em seguida, usam os pontos de apoio iniciais para se mover lateralmente para a empresa-mãe no Japão”.