Uma campanha de espionagem cibernética que violou nove agências globais, incluindo uma nos Estados Unidos, pode ter sido realizada por um grupo aliado ao regime chinês.
A campanha resultou no roubo de documentos confidenciais de uma agência governamental não identificada entre setembro e outubro, de acordo com um relatório da Unidade 42, uma equipe de inteligência contra ameaças especializada em risco cibernético e resposta a incidentes na Palo Alto Networks, em parceria com a Agência de Segurança Nacional Central de Colaboração para Segurança Cibernética.
“Já em 17 de setembro, o agente aproveitou a infraestrutura alugada nos Estados Unidos para examinar centenas de organizações vulneráveis pela Internet”, afirma o relatório. “Posteriormente, as tentativas de exploração começaram, em 22 de setembro, e provavelmente continuaram até o início de outubro”.
“Durante essa janela, o agente comprometeu, com sucesso, pelo menos nove entidades globais nas indústrias de tecnologia, defesa, saúde, energia e educação.”
O relatório afirma que a identidade do (s) agente (es) por trás da campanha não pôde ser verificada, mas observa que suas táticas e ferramentas se assemelham às de um grupo de ciberespionagem com ligações ao regime chinês, conhecido como Panda Emissário.
O Panda Emissário é conhecido por muitos nomes, incluindo APT 27, Bronze Union, Iron Tiger, Lucky Mouse e TG-3390. É um dos vários grupos que se separaram do Winnti Group que é patrocinado pelo Estado, e é responsável por ataques cibernéticos nas Américas, Ásia, Europa e Oriente Médio, de acordo com um relatório do canal de mídia canadense CBC. O grupo é especializado no uso de espionagem cibernética para coletar dados de alvos do governo e, frequentemente, visa os setores de energia, defesa e aviação.
O grupo de hackers está envolvido em vários ataques cibernéticos desde pelo menos 2009 e explorou vulnerabilidades da Microsoft Exchange até o início de novembro, quando usou o ransomware contra alvos localizados principalmente nos Estados Unidos.
O relatório afirma que a campanha varreu mais de 370 servidores baseados nos Estados Unidos, incluindo servidores do Departamento de Defesa, enquanto procurava vulnerabilidades. Em seguida, explorou vulnerabilidades recém-descobertas em uma solução de gerenciamento de senha e logon único, a ManageEngine ADSelfService Plus.
Uma vez que as vulnerabilidades foram exploradas, os agentes mal-intencionados foram capazes de se mover lateralmente para sistemas relacionados, instalar uma ferramenta de roubo de credenciais e coletar e extrair arquivos confidenciais.
“A Unidade 42 acredita que o objetivo principal do agente envolvia obter acesso permanente à rede, a coleta e a extração de documentos confidenciais da organização comprometida”, afirma o relatório.
A notícia do ataque segue de perto um alerta do National Counterintelligence and Security Center de que o regime comunista da China está engajado em uma campanha abrangente para adquirir tecnologias críticas e emergentes dos Estados Unidos por meios legais, quase legais e ilegais. As tecnologias dos EUA são essenciais para o desenvolvimento de muitos programas armamentícios da própria China, e grupos patrocinados pelo Estado chinês e aqueles ligados ao exército chinês foram acusados de roubar dados globalmente.
Da mesma forma, o ex-chefe de software da Força Aérea e Espacial dos Estados Unidos afirmou recentemente que os agentes chineses representam uma “significativa ameaça interna” para as empresas de tecnologia dos Estados Unidos.
Essas ameaças à nação não exigem necessariamente pés no chão, como foi recentemente demonstrado por um relatório, quando uma operação de influência pró-China em andamento anteriormente tentou mobilizar fisicamente os manifestantes nos Estados Unidos, aproveitando contas falsas de mídia social em 70 sites, incluindo Facebook, Twitter e YouTube.
As agências violadas na campanha ainda não foram identificadas publicamente.
Entre para nosso canal do Telegram
Assista também:
