Volt Typhoon APT da China se aprofunda na infraestrutura crítica dos EUA

Views: 192
0 0
Read Time:4 Minute, 36 Second

Os militares dos EUA estavam avaliando duas grandes preocupações cibernéticas no fim de semana – uma, a campanha chinesa generalizada e ainda não resolvida, conhecida como Volt Typhoon, visando bases militares, e a outra, uma violação interna que afetava as comunicações da Força Aérea e do FBI.

Funcionários do governo Biden confirmaram que o malware do Volt Typhoon é muito mais endêmico do que se pensava anteriormente; os socorristas o descobriram plantado dentro de várias redes que controlam as comunicações, energia e água que alimentam as bases militares dos EUA no país e no exterior, de acordo com o The New York Times .

Também preocupante, essas mesmas redes também tocam empresas e indivíduos comuns – e os investigadores estão tendo dificuldade em avaliar a pegada total da infestação.

Enquanto isso, um mandado de busca obtido pela Forbes revelou que o Pentágono está lidando com uma invasão cibernética totalmente separada – neste caso, um comprometimento de comunicações que afeta 17 instalações da Força Aérea e, possivelmente, o FBI também, cortesia de um engenheiro da Força Aérea.

Malware chinês é uma ‘bomba-relógio’ dentro de redes críticas dos EUA

A ameaça persistente avançada (APT) alinhada ao estado chinês por trás do Volt Typhoon, também conhecido como “Vanguard Panda”, chamou a atenção depois que a Microsoft observou a atividade cibernética chinesa em Guam , o local de uma base militar dos EUA estrategicamente importante para a defesa de Taiwan contra a agressão chinesa . A Microsoft postulou na época “que esta campanha do Volt Typhoon está buscando o desenvolvimento de recursos que podem interromper a infraestrutura crítica de comunicações entre os Estados Unidos e a região da Ásia durante crises futuras”.

Esse caso, divulgado em maio, acabou sendo apenas uma pequena parte de uma campanha muito mais ampla , e o objetivo de estar pronto para realizar a destruição agora parece cada vez mais provável como motivação; fontes disseram ao Times que os atacantes estão em posição de prejudicar a resposta militar e as cadeias de suprimentos de material caso um conflito cinético comece.

“Mais de uma dúzia de autoridades dos EUA e especialistas do setor disseram em entrevistas nos últimos dois meses que o esforço chinês vai muito além dos sistemas de telecomunicações e é anterior ao relatório de maio em pelo menos um ano”, informou o New York Times em 29 de julho, com um congressista rotulando concisamente a campanha de “uma bomba-relógio”.

Além disso, o Times relatou que “há um debate dentro do governo sobre se o objetivo da operação visa principalmente interromper os militares ou a vida civil de forma mais ampla no caso de um conflito”.

Austin Berglas, um ex-agente especial da Divisão Cibernética do FBI, agora chefe global de serviços profissionais da BlueVoyant, não está surpreso que a China esteja enterrada dentro das redes mais críticas dos EUA.

“Sabemos que a China está procurando explorar qualquer setor que puder para dar-lhes uma vantagem política, social ou econômica. Portanto, não é surpreendente”, diz ele. “O que é surpreendente é a menção de malware destrutivo. Isso normalmente não é visto em seu kit de ferramentas típico.”

“Quando você olha para as táticas, técnicas e procedimentos tradicionais (TTPs) usados ​​pelos atores estatais chineses, eles estão fazendo espionagem”, explica ele. O malware projetado para interromper ou destruir sistemas críticos muda a história. “Isso os posiciona para um ataque de retaliação? É algo que vamos começar a ver mais no futuro desses caras?”

Um ataque interno toma vôo na Força Aérea

Também em 29 de julho, a Forbes revelou que o Pentágono ordenou um ataque a um engenheiro de 48 anos da base da Força Aérea de Arnold em Tullahoma, Tennessee.

De acordo com o mandado de busca relevante, o engenheiro havia levado US$ 90.000 em equipamentos de rádio para casa, obtendo acesso não autorizado a tecnologias de comunicação de rádio empregadas pelo Air Education and Training Command (AETC), uma ala da Força Aérea responsável pelo recrutamento e treinamento.

No ataque, os investigadores encontraram um computador aberto rodando um software de programação de rádio Motorola “que continha todo o sistema de comunicações da Base Aérea de Arnold (AAFB)”, afirmou o mandado, além de evidências de acesso a comunicações privilegiadas do FBI e outras agências estaduais do Tennessee.

Berglas diz que o impacto nas demais agências não surpreende. Ele compara isso ao seu tempo no FBI. “Se eu estivesse sentado em minha mesa de trabalho, não poderia colocar uma unidade USB em meu computador. Não poderia colocar um disco para fazer uma cópia, ou tirar aquela mídia da rede de qualquer outra forma, além de impressão”, explica.

“O problema é que, como um escritório do FBI, você depende fortemente de parceiros estaduais e locais. Então você precisa dar a eles acesso confidencial a certos níveis de informação, dependendo da investigação. Mas quando essa informação chega a esse escritório, essas forças-tarefa e os contratados provavelmente não têm o mesmo nível de proteção cibernética em vigor”, explica ele.

É uma lição para qualquer organização: mesmo aquelas que praticam uma confiança zero tão rígida como o FBI e a Força Aérea ainda enfrentam as mesmas ameaças internas e os mesmos riscos da cadeia de suprimentos que qualquer outra organização.

“Quando você procura proteger informações sigilosas”, ele conclui, “você precisa permitir que esses parceiros individuais e de agências cumpram. Trata-se de fornecer recursos ao elo mais fraco da cadeia e apoiá-los para ficarem mais seguros”.

FONTE: DARKREADING

POSTS RELACIONADOS