0
0
Os agentes de ameaças patrocinados pela China conseguiram estabelecer acesso persistente dentro das redes de telecomunicações e outros alvos de infraestrutura crítica nos EUA, com o objetivo observado de espionagem – e, potencialmente, a capacidade de interromper as comunicações em caso de conflito militar no Mar do Sul da China e no Pacífico mais amplo.
Isso é de acordo com uma investigação da Microsoft, que chama a ameaça persistente avançada (APT) de “Volt Typhoon”. É um conhecido grupo patrocinado pelo Estado que foi observado realizando atividade de espionagem cibernética no passado, por pesquisadores da Microsoft, Mandiant e outros lugares.
Embora a espionagem pareça ser o objetivo por enquanto, poderia muito bem haver um propósito mais sinistro em jogo. “A Microsoft avalia com confiança moderada que esta campanha Volt Typhoon está buscando o desenvolvimento de capacidades que poderiam interromper a infraestrutura de comunicações críticas entre os Estados Unidos e a região da Ásia durante crises futuras”, de acordo com a análise.
Os primeiros sinais de comprometimento surgiram nas redes de telecomunicações em Guam, de acordo com uma reportagem do New York Times antes da divulgação das descobertas. A Agência de Segurança Nacional descobriu essas invasões na mesma época em que o balão espião chinês estava nas manchetes por entrar no espaço aéreo dos EUA, de acordo com o relatório. Em seguida, contratou a Microsoft para investigar mais, eventualmente descobrindo uma ampla rede de compromissos em vários setores, com um foco particular em alvos de transporte aéreo, de comunicações, marítimo e terrestre.
Um gol de sombra? Preparando as bases para a disrupção
A descoberta da atividade tem como pano de fundo as relações geladas dos EUA com Pequim; As duas superpotências estagnaram em sua diplomacia desde o abate do balão, e pioraram em meio a temores de que a invasão da Ucrânia pela Rússia possa estimular a China a fazer o mesmo em Taiwan.
PUBLICIDADE
No caso de uma crise militar, um ataque cibernético destrutivo à infraestrutura crítica dos EUA poderia interromper as comunicações e dificultar a capacidade do país de ajudar Taiwan, apontou a reportagem do Times. Ou, de acordo com John Hultquist, analista-chefe da Mandiant Intelligence – Google Cloud, um ataque disruptivo poderia ser usado como proxy para ação cinética.
“Essas operações são agressivas e potencialmente perigosas, mas não indicam necessariamente que os ataques estão se aproximando”, disse ele em um comunicado enviado por e-mail. “Um indicador muito mais confiável para [um] ataque cibernético destrutivo e disruptivo é uma deterioração da situação geopolítica. Um ataque cibernético destrutivo e disruptivo também não é apenas um cenário de guerra. Essa capacidade pode ser usada por Estados que buscam alternativas para conflitos armados.”
Chamando tais preparações de “intrusões de contingência”, ele acrescentou que a China certamente não está sozinha em conduzi-las – embora, notadamente, os APTs apoiados pela China estejam tipicamente muito mais focados na espionagem cibernética do que na destruição.
“Na última década, a Rússia atacou uma variedade de setores de infraestrutura crítica em operações que não acreditamos que foram projetadas para efeito imediato”, observou Hultquist. “Os agentes de ameaças cibernéticas chineses são únicos entre seus pares, pois não recorreram regularmente a ataques cibernéticos destrutivos e disruptivos. Como resultado, sua capacidade é bastante opaca.”
Um foco observado em furtividade e espionagem
Para conseguir o acesso inicial, o Volt Typhoon compromete dispositivos Fortinet FortiGuard voltados para a Internet, um alvo popular para ciberatacantes de todos os tipos (a Microsoft ainda está examinando como eles estão sendo violados neste caso). Uma vez dentro da caixa, o APT usa os privilégios do dispositivo para extrair credenciais da conta do Active Directory e autenticar em outros dispositivos na rede.
Uma vez dentro, o ator patrocinado pelo Estado usa a linha de comando e os binários “para encontrar informações no sistema, descobrir dispositivos adicionais na rede e exfiltrar dados”, de acordo com a análise.
Para cobrir seus rastros, o Volt Typhoon faz proxies de seu tráfego de rede por meio de roteadores de pequeno escritório/home office (SOHO) comprometidos e outros dispositivos de borda da ASUS, Cisco, D-Link, NETGEAR e Zyxel — o que permite que ele se misture à atividade normal da rede, observaram os pesquisadores da Microsoft.
O post também fornece conselhos de mitigação e indicadores de comprometimento, e a NSA publicou um aviso em tandem sobre o Volt Typhoon (PDF) com detalhes sobre como caçar a ameaça.
FONTE: DARK READING