ZMSC, 25/05/2023
Por Tibi Puiu
Hackers estatais chineses empregaram técnicas furtivas e aproveitaram dispositivos comprometidos para espionagem cibernética.
Hackers patrocinados pelo governo chinês conseguiram se infiltrar em sistemas de infraestrutura crítica nos Estados Unidos e em Guam, realizando operações secretas de espionagem cibernética e roubando dados confidenciais, de acordo com relatórios da Microsoft e de agências governamentais, incluindo a NSA e o FBI.
Esses hackers estrangeiros, conhecidos como o grupo 'Volt Typhoon', operam há pelo menos dois anos, permanecendo sem serem detectados enquanto visam informações cruciais para a República Popular da China.
Vida fora da Terra hackeando
Para manter sua presença furtiva, os hackers do Volt Typhoon empregam uma técnica sorrateira chamada "viver da terra". Os hackers normalmente instalam ferramentas externas ou malware para se infiltrar em dispositivos vulneráveis. No entanto, a técnica da Volt Typhoon visa softwares e recursos já existentes em dispositivos comprometidos. Ao fazer isso, eles evitam atrair a atenção de sistemas de segurança que normalmente detectam a presença de software mal-intencionado.
"Para alcançar seu objetivo, o ator da ameaça coloca forte ênfase na furtividade nesta campanha, confiando quase exclusivamente em técnicas de 'vida fora da terra' e atividade prática no teclado", escreveram os pesquisadores da Microsoft em seu relatório consultivo.
Os dados roubados pelos hackers chineses incluem credenciais, que são usadas para ocultar ainda mais a atividade de hackers. Por exemplo, esses dados são usados para se misturar com o tráfego de rede normal usando equipamentos de rede de pequenos escritórios e escritórios domésticos (SOHO) comprometidos, como roteadores, firewalls e hardware VPN.
Dessa forma, quando os analistas de segurança analisam o tráfego de rede em busca de padrões de atividade suspeita, eles não verão nenhum sinal de alerta. No entanto, o tráfego que supostamente é de Guam ou da Califórnia é falsificado, mascarando atividade coordenada desde a China.
Para primeiro obter acesso à infraestrutura crítica baseada nos EUA, os hackers parecem ter encontrado uma porta dos fundos em dispositivos Fortinet FortiGuard voltados para a Internet, informou o Ars Technica. Ironicamente, esses são dispositivos de segurança projetados para proteger as redes de várias ameaças. No entanto, quando esses dispositivos não são corrigidos ou têm vulnerabilidades não resolvidas, eles se tornam suscetíveis à exploração por hackers.
No contexto da campanha Volt Typhoon, os hackers exploram essas vulnerabilidades em dispositivos FortiGuard para obter acesso não autorizado a uma rede. Depois de penetrar no dispositivo, eles extraem credenciais do Active Directory da rede. O Active Directory é um banco de dados que armazena informações cruciais, como nomes de usuário, hashes de senha e outros dados confidenciais relacionados a contas de usuário. Com essas credenciais em mãos, os hackers podem então passar a infectar outros dispositivos dentro da rede, expandindo seu alcance e controle.
O que está em jogo?
Os setores afetados por essas invasões cibernéticas abrangem uma ampla gama, incluindo comunicações, manufatura, serviços públicos, transporte, construção, infraestrutura marítima, governo, tecnologia da informação e educação.
De acordo com pesquisadores da Microsoft, o objetivo final da campanha Volt Typhoon provavelmente visa desenvolver capacidades para interromper a infraestrutura de comunicações críticas entre os Estados Unidos e a região da Ásia durante potenciais crises futuras.
Guam é de particular importância estratégica, pois abriga importantes portos do Pacífico e uma base aérea utilizada pelos militares dos EUA. À medida que as tensões aumentam sobre questões como Taiwan, Guam se tornou um ponto focal devido à sua posição crítica.
Os Estados Unidos há muito seguem uma política de "ambiguidade estratégica" sobre se interviriam militarmente para proteger Taiwan no caso de um ataque chinês. No entanto, o presidente dos EUA, Joe Biden, disse que estaria disposto a usar a força para defendê-lo. No caso de tal ação, os EUA entrariam efetivamente em guerra com a China, que provavelmente ativará e interromperá os sistemas hackeados desde o primeiro dia.
Embora o hack Volt Typhoon já tenha sido exposto, pode haver muitos outros sistemas e redes que estão atualmente comprometidos, mas o hacking ainda não foi detectado.
Além de Taiwan, os EUA e a China estão envolvidos em disputas sobre uma série de questões, incluindo comércio e transferência de tecnologia. Para dificultar a influência chinesa, os EUA introduziram vários controles de exportação, principalmente de semicondutores, e estão até considerando seriamente banir o popular aplicativo de mídia social TikTok, de propriedade da chinesa ByteDance.
Por sua vez, a China introduziu suas próprias medidas de controle. Por exemplo, produtos da fabricante americana de chips de memória Micro são proibidos na China, citando segurança nacional.
Um dos confrontos mais significativos entre as duas potências ocorreu em fevereiro, quando a Força Aérea dos EUA derrubou o que diz ser um balão espião chinês sobre o espaço aéreo americano. A China negou a acusação, dizendo que o dirigível era simplesmente um balão meteorológico que havia saído do curso.
Para ajudar as organizações a detectar e mitigar esses ataques, o comunicado fornece indicadores de comprometimento que os administradores podem usar para identificar possíveis infecções. Por exemplo, sistemas comprometidos podem exibir entradas bem-sucedidas de endereços IP desconhecidos e atividades de linha de comando incomuns podem estar associadas à mesma conta de usuário.
Fonte:https://www.zmescience.com/science/news-science/chinese-hacking-us-guam/
Nenhum comentário:
Postar um comentário