O papel da China na telecomunicação internacional é visto como uma questão complexa e também complicada. Em 2010 a China tinha mais de 400 milhões de usuários da Internet. Devido ao tamanho de sua população, esse número se referia a apenas cerca de um terço dos habitantes do país, primariamente situados nos centros urbanos do país. Embora companhias de TIC e analistas vejam a China como o mercado com o maior potencial de crescimento para investimentos adicionais, organizações da sociedade civil global e governos estrangeiros (principalmente ocidentais) reclamam regularmente do filtro nacional de Internet e da censura, e também de ataques cibernéticos recorrentes. Diferente do caso russo, os ataques cibernéticos da China acontecendo bem no início do século 21 não visaram redes estrangeiras com a mesma complexidade e com resultados destrutíveis comparáveis aos da Estônia e Geórgia. Eles eram na verdade concentrados em redes individuais em países diferentes, frequentemente com a intenção de espionar.
Os primeiros casos de ataques cibernéticos da China datam do fim dos anos 1990. Como uma resposta a uma demonstração maciça dos membros da Falun Gong em Pequim em abril de 1999, uma série de servidores nos EUA, Canadá e Reino Unido hospedando websites do movimento se tornaram vítimas de ataques cibernéticos. No mesmo ano, ataques cibernéticos acontecerem em redes americanas depois do bombardeio da embaixada chinesa em Belgrado. Neste contexto, é interessante mencionar que nesse momento a Internet era uma rede relativamente nova que era usada apenas por uma porcentagem pequena da população, uma boa parte dela sendo de membros de universidades. Em dezembro de 1999 apenas 3,5 milhões de computadores na China tinha acesso à Internet. Eles eram usados por um número estimado de 8,9 milhões de pessoas, menos de 1% da população total.
Ao longo dos anos, mais ataques similares ocorreram estando conectados a eventos particulares, como um acidente de avião envolvendo duas máquinas da China e EUA, causando a morte do piloto chinês em abril de 2001 (o incidente da Ilha Hainan). Essa colisão resultou em maciços ataques cibernéticos da China às redes governamentais americanas e vice-versa. Os ataques foram conduzidos por hackers patriotas chineses e norte-americanos que declararam abertamente responsabilidade na rede. Embora este incidente, que causou danos sérios a partes da infraestrutura crítica americana, tenha se baseado em atividades cibernéticas mútuas, nos anos seguintes a China conduziu mais ataques cibernéticos secretos, visando instituições públicas em diferentes países com a intenção de transferir de modo ilegítimo informações para suas próprias redes.
Entre 2005 e 2010 (e também nos anos seguintes) especialmente países ocidentais industrializados descobriram ataques virtuais às suas redes governamentais. Na maioria dos casos, os atacantes tentaram (frequentemente com sucesso) acessar redes públicas como o Escritório das Relações Exteriores Britânico, o Pentágono dos Estados Unidos, ou o Ministério das Relações Exteriores Alemão e outros. Na maioria dos casos mencionados, os ataques foram rastreados de volta até redes chinesas, em alguns casos até mesmo diretamente ao exército chinês. Investigadores americanos suspeitaram que um círculo de espionagem chinês que eles chamaram de Titan Rain fosse responsável. Alex Neill, analista de segurança asiático do Instituto Real Britânico de Serviços Unidos (British Royal United Services Institute), declarou que os ataques poderiam ser parte de uma estratégia de “guerra de ponto de pressão“ do exército da China para enfraquecer seus oponentes “atacando… nodos específicos para deixar o adversário paralisado”.
James Lewis do Centro de Estudos Estratégicos e Internacionais (Center for Strategic and International Studies) em Washington DC chegou a uma conclusão diferente. De acordo com sua análise, a vulnerabilidade das redes chinesas poderia atrair terceiros com a intenção de atacar infraestrutura estrangeira e deixar que os investigadores caiam na armadilha fácil da lógica (pós-) Guerra Fria.
“Nos anos 1980 os Americanos olhavam embaixo de suas camas e acreditavam ter visto a KGB; e agora eles acreditam ver a PLA [Exército Popular da Libertação]. Um serviço hostil de um terceiro país poderia ser atraído para usar computadores chineses para lançar um ataque esperando que nossa propensão a atribuir más intenções à China nublasse qualquer investigação.”
Ademais, Lewis apontou que oficiais da China também teriam usado o método com um terceiro país em vez de deixar uma trilha de volta para suas próprias redes. Ele sugeriu que cibercriminosos poderiam ser responsáveis por ataques virtuais a redes governamentais para vender a informação para qualquer serviço secreto que estivesse disposto a pagar.
Um ataque cibernético mais extenso que foi rastreado de volta até computadores chineses foi descoberto por pesquisadores do Centro Munk de Estudos Internacionais da Universidade de Toronto e o Monitor de Guerra da Informação (Information Warfare Monitor). Os resultados de sua pesquisa de 10 meses (junho de 2008 – março de 2009) foram publicados em março de 2009. O ponto inicial da pesquisa foi um pedido do Gabinete de Dalai Lama para procurar em suas redes por um provável malware. A infiltração dos computadores do gabinete foi presumida depois que oficiais chineses provaram ter informação sobre exilados políticos tibetanos que eles provavelmente haviam recebido através da Internet. Durante as investigações, os pesquisadores descobriram que um grande número de computadores da comunidade tibetana havia sido infiltrado por cavalos de Tróia que abriam os sistemas para invasores, oferecendo então acesso a conteúdo armazenado nas respectivas redes. Além disso, os atacantes criaram para eles a possibilidade de reunir informação habilitando microfones ou webcams nos computadores infiltrados.
Durante as investigações, os pesquisadores descobriram que além de tibetanos, um grande número de outros computadores também foi conectado ao que eles chamaram de GhostNet. Entre maio de 2007 e março de 2009 pelo menos 1295 computadores de 103 países foram infiltrados pela rede de espionagem. 30% das redes atacadas foram consideradas pelos pesquisadores como “alvos de alto valor“ como as redes da ASEAN e da OTAN, embaixadas e ministérios das relações exteriores e outros ministérios de vários países como Bangladesh, Brunei, Alemanha, Indonésia, Paquistão, Portugal, Taiwan e Vietnã, assim como novas organizações, universidades e companhias privadas em Hong Kong, Índia, Rússia, EUA e mais. Havia um forte foco em redes governamentais no Sul e Sudeste da Ásia.
Rastreando os atacantes, os pesquisadores descobriram que 70% dos servidores controlando as atividades da GhostNet contra redes tibetanas estavam localizados na China. O resto estava dispersado por diferentes países, entre eles a Suécia, Taiwan e EUA. Além disso, uma vasta quantidade de servidores atacando alvos não tibetanos estava localizada na China. Neste contexto, é interessante notar que vários servidores estavam situados na ilha chinesa de Hainan onde instalações de inteligência e técnicas do exército residem. Ademais, a concentração em alvos políticos, econômicos e militares em países do Sul e Sudeste da Ásia indica que oficiais chineses poderiam ser os operadores da GhostNet. Contudo, o relatório do Monitor de Guerra da Informação concluiu que as ferramentas necessárias para construir redes de espionagem estavam disponíveis na rede e não exclusivamente acessíveis a militares ou oficiais do serviço secreto. Além disso, cibercriminosos poderiam construir redes similares para reunir e vender informações, embora a GhostNet tivesse um forte caráter político comparado a redes criminosas descobertas anteriormente. O que, por sua vez, sugere uma não responsabilidade de oficiais chineses é o argumento também levantado por James Lewis anteriormente, declarando que outros atores poderiam ter construído a GhostNet usando infraestrutura chinesa para conduzir os investigadores pela trilha errada.
Considerando a cautela do relatório em relação a pessoas responsáveis por trás dos ataques virtuais, é notável compará-lo a um segundo, composto por dois outros pesquisadores da Universidade de Cambridge que também estiveram envolvidos na pesquisa sobre a GhostNet. Em The Snooping Dragon (O Dragão Bisbilhoteiro), Shishir Nagaraja e Ross Anderson deram diferentes pontos de vista sobre as origens da GhostNet. Eles declararam claramente a responsabilidade do governo chinês pelo ataque às redes tibetanas. Na primeira sentença do resumo eles apresentaram sua tese como se tratando de “caso de vigilância eletrônica baseada em malware de uma organização política por agentes de um estado-nação.” Eles adicionalmente alegaram que o “ataque de vigilância [foi] projetado para coletar inteligência para uso da polícia e do serviço de segurança de um estado repressivo…” Em sua conclusão eles amplificaram esse aspecto apontando: “Pessoas no Tibete podem ter morrido como resultado.“
A comparação da GhostNet e da Titan Ring (e uma série de incidentes menores mencionados acima) com ataques cibernéticos à Estônia e Geórgia mostra que no início do século 21, casos envolvendo redes chinesas como a fonte do ataque eram mais prováveis de envolver espionagem do que de causar dano a uma rede estrangeira. Contudo, atividades hackers individuais também podem ser traçadas até redes chinesas que no passado (ex. em tempos de tensão chinesa-americana) visavam corromper a infraestrutura estrangeira. Embora não haja interesse financeiro direto por trás de tais atividades, elas devem ser consideradas como um cibercrime também. Ademais, as suposições de James Lewis a respeito da exploração dos pontos fracos na infraestrutura chinesa por grupos cibercriminosos enfatizam a possível correlação entre ataques cibernéticos políticos e cibercrime. Essas relações se tornam ainda mais claras quando se olha para ataques DDoS amplamente disseminados que dependem de grandes botnets para serem bem-sucedidos. O envolvimento de redes ilegítimas por grupos cibercriminosos comuns como a Rede de Negócios Russa e outros grupos menos conhecidos provaram a existência de uma intersecção de cibercriminosos e atacantes cibernéticos politicamente motivados. Além disso, o envolvimento da organização russa pró-Kremlin, Nashi nos ataques à Estônia em 2007 provaram essa relação. Na verdade, há dois cenários possíveis para o envolvimento do Nashi em cibercrime. Considerando o fato de que os ataques cibernéticos à Estônia começaram logo após demonstrações espontâneas nas ruas de Tallinn, os atacantes já deviam ter contato com os cibercriminosos de antemão para alugar instantaneamente vastos botnets. Um segundo cenário inclui a possibilidade de os atacantes possuírem seus próprios botnets que eles usaram durante os ataques. Isso indica que eles estiveram envolvidos em atividades cibercriminosas ou com seus preparativos antes dos incidentes na Estônia.
Independentemente da hora e local, pode ser declarado que uma proteção contra ataques cibernéticos politicamente motivados postula uma proteção contra cibercrimes comuns. Para ter sucesso nessa questão, um foco no nível internacional é indispensável. Numa entrevista com a autora, a Professora da Faculdade de Direito de Dayton Susan Brenner enfatizou que “soluções puramente paranoicas e nacionais não podem abordar esse tipo de atividade criminal apátrida, que por implicação significa que soluções multilaterais/internacionais são necessárias”. Devido ao seu caráter transnacional, o cibercrime dificilmente é controlado em nível nacional, mas requer cooperação internacional. Por esta razão, uma série de organizações internacionais e outros atores internacionais estão se empenhando em busca de acordos internacionais e regulações regionais.