[ad_1]
Como hackers patrocinados pelo estado trabalhando em nome da Rússia, Irã e Coréia do Norte há anos causando estragos com ataques cibernéticos disruptivos em todo o mundo, os hackers militares e de inteligência da China mantiveram em grande parte a reputação de restringir suas invasões à espionagem. Mas quando esses ciberespiões violam a infraestrutura crítica nos Estados Unidos — e especificamente um território americano próximo à China — a espionagem, o planejamento de contingência de conflitos e a escalada da guerra cibernética começam a parecer perigosamente semelhantes.
Na quarta-feira, a Microsoft revelou em uma postagem de blog que rastreou um grupo do que acredita ser hackers patrocinados pelo estado chinês que, desde 2021, realizou uma ampla campanha de hackers que teve como alvo sistemas de infraestrutura crítica nos estados dos EUA e Guam, incluindo comunicações. , fabricação, serviços públicos, construção e transporte.
As intenções do grupo, que a Microsoft batizou de Volt Typhoon, podem ser simplesmente espionagem, já que não parece ter usado seu acesso a essas redes críticas para realizar destruição de dados ou outros ataques ofensivos. Mas a Microsoft adverte que a natureza do alvo do grupo, inclusive em um território do Pacífico que pode desempenhar um papel fundamental em um conflito militar ou diplomático com a China, ainda pode permitir esse tipo de interrupção.
“O comportamento observado sugere que o agente da ameaça pretende realizar espionagem e manter o acesso sem ser detectado pelo maior tempo possível”, diz o post do blog da empresa. Mas combina essa declaração com uma avaliação com “confiança moderada” de que os hackers estão “buscando o desenvolvimento de recursos que possam interromper a infraestrutura crítica de comunicação entre os Estados Unidos e a região da Ásia durante crises futuras”.
A Mandiant, empresa de segurança cibernética de propriedade do Google, diz que também rastreou uma série de invasões do grupo e oferece um aviso semelhante sobre o foco do grupo em infraestrutura crítica “Não há uma conexão clara com propriedade intelectual ou informações políticas que esperamos de uma operação de espionagem”. diz John Hultquist, que chefia a inteligência de ameaças da Mandiant. “Isso nos leva a questionar se eles estão lá porque os alvos são críticos. Nossa preocupação é que o foco na infraestrutura crítica seja a preparação para um possível ataque disruptivo ou destrutivo”.
A postagem no blog da Microsoft ofereceu detalhes técnicos das invasões dos hackers que podem ajudar os defensores da rede a localizá-los e removê-los: o grupo, por exemplo, usa roteadores hackeados, firewalls e outros dispositivos de “borda” da rede como proxies para lançar seus dispositivos de hacking-alvo que incluem aqueles vendidos pelos fabricantes de hardware ASUS, Cisco, D-Link, Netgear e Zyxel. O grupo também costuma explorar o acesso fornecido por contas comprometidas de usuários legítimos, em vez de seu próprio malware, para tornar sua atividade mais difícil de detectar, parecendo benigna.
Misturar-se com o tráfego de rede regular de um alvo na tentativa de evitar a detecção é uma marca registrada do Volt Typhoon e da abordagem de outros atores chineses nos últimos anos, diz Marc Burnard, consultor sênior de pesquisa de segurança da informação da Secureworks. Assim como a Microsoft e a Mandiant, a Secureworks tem rastreado o grupo e observado as campanhas. Ele acrescentou que o grupo demonstrou um “foco implacável na adaptação” para perseguir sua espionagem.
[ad_2]
Matéria ORIGINAL wired