Cibercriminosos passam 10 meses em rede do governo dos EUA sem serem detectados

Um grupo de cibercriminosos passou nada menos do que 10 meses com acesso a uma organização militar pertencente ao governo dos Estados Unidos. A intrusão, revelada nesta semana pela administração americana, era focada no roubo de dados e aconteceu em uma instituição de pesquisa e desenvolvimento para o Departamento de Defesa; ela foi comprometida por diferentes tipos de malware em uma operação que tinha o roubo de dados como objetivo central.

• Ataques virtuais | Maior parte tem motivação econômica, e espionagem cresce
• Novo golpe infecta PCs ao passar o mouse sobre um link

O caso é detalhado em um relatório da CISA (Agência de Cibersegurança e Infraestrutura, na sigla em inglês), liberado em conjunto com investigações do FBI e da CIA (Agência de Segurança Nacional, na sigla). Enquanto a invasão, que é associada a um grupo cibercriminoso chinês chamado Hafnium, foi realizada em janeiro de 2021, ela somente foi detectada em novembro, com os esforços de resposta a incidentes durando até o começo deste ano.

Uma falha conhecida em servidores do Microsoft Exchange permitiu a intrusão e a instalação do malware CovalentStealer, focado no roubo de dados, além de ferramentas de acesso remoto e execução de código, incluindo o webshell ChinaChopper. O nome indica a possível origem da intrusão, com as ferramentas cibercriminosas também foram combinadas a elementos legítimos, como as classes Python para protocolos de rede Impacket.

O governo dos Estados Unidos acredita que, ao longo do tempo grande de comprometimento, diferentes grupos cibercriminosos tenham acessado a rede e extraído informações. Gera preocupações o fato de a organização atingida, cujo nome não foi divulgado, trabalhar no desenvolvimento de produtos e serviços para operações militares, um alvo comum e muito visado por criminosos digitais.

O alcance dos danos não é comentado, mas a CISA aponta o uso de quatro falhas relacionadas à brecha ProxyLogon pelos bandidos, ainda que o vetor inicial de entrada não tenha sido identificado. O relatório, porém, aponta que foram necessárias apenas quatro horas entre o ingresso na rede e o comprometimento de uma conta de administrador, que permitiu a busca em caixas de e-mail. Depois, veio o comprometimento de VPNs e demais sistemas.

Enquanto faziam o reconhecimento da rede, os criminosos já aproveitavam para desviar todo tipo de arquivo interessante que encontravam, temendo serem descobertos. Ao longo dos meses, porém, mais e mais explorações foram inseridas nas plataformas, com direito ao comprometimento de credenciais de acesso remoto, contas de serviço e servidores virtuais, enquanto as informações obtidas eram hospedadas em uma conta legítima no OneDrive, sob o controle dos bandidos.

O caso serve como um alerta, também, a outras corporações dos setores militares e outros igualmente visados pelos criminosos. A aplicação de atualizações e o controle de acessos diretos e remotos são alguns dos elementos-chave de proteção citados pela CISA, que também inclui regras que podem ser adicionadas a sistemas de proteção, relacionados ao ataque em si, e demais indicadores de comprometimento e mitigações a serem aplicadas na infraestrutura.

Fonte: CISA