Grupos ligados à China teriam feito ciberataques contra 6 estados dos EUA
Por Felipe Demartini • Editado por Claudio Yuge |
Os governos de seis estados dos EUA teriam sido atingidos por ataques cibercriminosos altamente especializados, realizados por grupos ligados ao governo da China. Os incidentes foram registrados entre maio de 2021 e fevereiro deste ano, resultando no comprometimento de informações pessoais de cidadãos e também documentos internos do poder público, em um comportamento categorizado como semelhante ao de uma operação de espionagem.
- O que é uma guerra cibernética?
- 52 serviços essenciais dos EUA foram atacados por um único grupo de ransomware
As afirmações aparecem em um relatório de ameaças da empresa de cibersegurança Mandiant. No levantamento, ela se refere ao grupo em questão como APT41 e cita métodos sofisticados de intrusão, com diferentes vetores de comprometimento e ampla capacidade de reconhecimento das redes miradas. Falhas de segurança de dia zero ou brechas ainda não atualizadas, por exemplo, costumam ser rapidamente exploradas pelos criminosos com a criação de ferramentas, bem como mudanças de vetor de ataque assim que uma dessas portas é fechada.
No caso específico dos governos estaduais dos EUA, foram exploradas falhas em aplicações desenvolvidas com a tecnologia .NET, além de vulnerabilidades em um software de registro e acompanhamento de informações veterinárias, desenvolvido para o departamento de agricultura da Pensilvânia. Neste caso, chaves de criptografia puderam ser obtidas pelos criminosos e eram compartilhadas por todos os órgãos, o que permitiu que os criminosos se movimentassem lateralmente pela rede e comprometessem plataformas inteiras a partir de um único dispositivo invadido.
O total de seis estados atingidos, inclusive, representa apenas aqueles em que a Mandiant foi efetivamente capaz de identificar uma intrusão. O número final, segundo a empresa, pode ser muito maior, já que 18 unidades da federação americana usam o aplicativo vulnerável. Os detalhes da falha não foram divulgados e o relatório aponta que a empresa responsável por ele, chamada Acclaim Systems, não respondeu aos contatos dos especialistas.
A brecha no sistema Log4j, claro, também foi abusada pelos criminosos, com a Mandiant falando em campanhas de ataque sendo executadas apenas horas depois de a vulnerabilidade em sistemas Java ter sido revelada publicamente. Nestes casos, portas de entrada foram posicionadas rapidamente em servidores, para que servissem como vetores de novas explorações assim que o APT41 estivesse preparado — novamente, o relatório aponta que tais aberturas podem ainda estar disponíveis e sendo utilizadas pelos criminosos, sem detecção.
APT41 está sendo investigado, mas ataques continuam
Apesar da nova torrente de comprometimentos nos estados americanos, o relatório aponta que o APT41 não é um grupo novato no cenário de ameaças. Eles são investigados pelas autoridades dos EUA, pelo menos, desde 2019, com direito ao indiciamento de cinco membros e até a inclusão deles nas listas de cibercriminosos mais procurados do FBI.
Segundo os especialistas, o grupo também realiza ataques de ransomware como forma de financiar suas operações, enquanto receberia dinheiro de estados-nação para suas atividades de espionagem. O relatório da Mandiant pede uma atitude mais drástica das autoridades do país, já que as atividades do APT41 não dão sinal de parada, a não ser, claro, que seus membros sejam presos.
Fonte: Mandiant