Campanha de espionagem visando o setor de defesa dos EUA está possivelmente vinculada à China

Campanha de espionagem cibernética violou nove agências globais e pode ter sido realizada por grupo aliado ao regime chinês

Por Andrew Thornebrooke

Uma campanha de espionagem cibernética que violou nove agências globais, incluindo uma nos Estados Unidos, pode ter sido realizada por um grupo aliado ao regime chinês.

A campanha resultou no roubo de documentos confidenciais de uma agência governamental não identificada entre setembro e outubro, de acordo com um relatório da Unidade 42, uma equipe de inteligência contra ameaças especializada em risco cibernético e resposta a incidentes na Palo Alto Networks, em parceria com a Agência de Segurança Nacional Central de Colaboração para Segurança Cibernética.

“Já em 17 de setembro, o agente aproveitou a infraestrutura alugada nos Estados Unidos para examinar centenas de organizações vulneráveis pela Internet”, afirma o relatório. “Posteriormente, as tentativas de exploração começaram, em 22 de setembro, e provavelmente continuaram até o início de outubro”.

“Durante essa janela, o agente comprometeu, com sucesso, pelo menos nove entidades globais nas indústrias de tecnologia, defesa, saúde, energia e educação.”

O relatório afirma que a identidade do (s) agente (es) por trás da campanha não pôde ser verificada, mas observa que suas táticas e ferramentas se assemelham às de um grupo de ciberespionagem com ligações ao regime chinês, conhecido como Panda Emissário.

O Panda Emissário é conhecido por muitos nomes, incluindo APT 27, Bronze Union, Iron Tiger, Lucky Mouse e TG-3390. É um dos vários grupos que se separaram  do Winnti Group que é patrocinado pelo Estado, e é responsável por ataques cibernéticos nas Américas, Ásia, Europa e Oriente Médio, de acordo com um relatório do canal de mídia canadense CBC. O grupo é especializado no uso de espionagem cibernética para coletar dados de alvos do governo e, frequentemente, visa os setores de energia, defesa e aviação.

O grupo de hackers está envolvido em vários ataques cibernéticos desde pelo menos 2009 e explorou vulnerabilidades da Microsoft Exchange até o início de novembro, quando usou o ransomware contra alvos localizados principalmente nos Estados Unidos.

O relatório afirma que a campanha varreu mais de 370 servidores baseados nos Estados Unidos, incluindo servidores do Departamento de Defesa, enquanto procurava vulnerabilidades. Em seguida, explorou vulnerabilidades recém-descobertas em uma solução de gerenciamento de senha e logon único, a ManageEngine ADSelfService Plus.

Uma vez que as vulnerabilidades foram exploradas, os agentes mal-intencionados foram capazes de se mover lateralmente para sistemas relacionados, instalar uma ferramenta de roubo de credenciais e coletar e extrair arquivos confidenciais.

“A Unidade 42 acredita que o objetivo principal do agente envolvia obter acesso permanente à rede, a coleta e a extração de documentos confidenciais da organização comprometida”, afirma o relatório.

A notícia do ataque segue de perto um alerta do National Counterintelligence and Security Center de que o regime comunista da China está engajado em uma campanha abrangente para adquirir tecnologias críticas e emergentes dos Estados Unidos por meios legais, quase legais e ilegais. As tecnologias dos EUA são essenciais para o desenvolvimento de muitos programas armamentícios da própria China, e grupos patrocinados pelo Estado chinês e aqueles ligados ao exército chinês foram acusados ​​de roubar dados globalmente.

Da mesma forma, o ex-chefe de software da Força Aérea e Espacial dos Estados Unidos afirmou recentemente que os agentes chineses representam uma “significativa ameaça interna” para as empresas de tecnologia dos Estados Unidos.

Essas ameaças à nação não exigem necessariamente pés no chão, como foi recentemente demonstrado por um relatório, quando uma operação de influência pró-China em andamento anteriormente tentou mobilizar fisicamente os manifestantes nos Estados Unidos, aproveitando contas falsas de mídia social em 70 sites, incluindo Facebook, Twitter e YouTube.

As agências violadas na campanha ainda não foram identificadas publicamente.

Entre para nosso canal do Telegram

Assista também:

 
Matérias Relacionadas