Hackers chineses invadiram pelo menos seis governos estaduais dos EUA

Uma investigação começou em 2021, como resposta a uma violação por um grupo de hackers conhecido como “APT41”

Por Michael Washburn 

Um grupo de hackers apoiado pelo regime chinês explorou vulnerabilidades nos sistemas online de pelo menos seis governos estaduais dos EUA para comprometer e obter acesso a essas redes, relatou a empresa de segurança cibernética Mandiant, no dia 8 de março. 

A investigação começou na primavera de 2021, em resposta a uma violação por um grupo de hackers conhecido como “APT41” do sistema de um governo estadual e continuou até o mês passado.

“Nossa investigação sobre a atividade do APT41 entre maio de 2021 e fevereiro de 2022 descobriu evidências de uma campanha deliberada visando governos estaduais dos EUA. Durante esse período, o APT41 comprometeu com sucesso pelo menos seis redes do governo estadual dos EUA por meio da exploração de aplicativos da Web vulneráveis ​​à Internet, geralmente escritos em ASP.NET”, declarou o relatório.

ASP.NET, desenvolvido pela Microsoft, é um framework web de código aberto que permite aos usuários construir aplicativos e serviços de internet na plataforma .NET. As fraquezas e vulnerabilidades de algumas versões do ASP.NET são de conhecimento público há anos. O site CVE Details até publicou listas de várias falhas de design, como a incapacidade de lidar com um estado de exibição não criptografado ou a vulnerabilidade a uma negação de serviço transmitida por meio de uma mensagem SOAP, que pode permitir que hackers e outros agentes mal-intencionados ataquem e interrompam aplicativos e serviços utilizando ASP.NET.

Apesar dessas vulnerabilidades, alguns estados dos EUA continuam a utilizar a plataforma para sistemas voltados para a web. O relatório da Mandiant não nomeou os seis estados conhecidos por terem sofrido violações pelo APT41 durante o período em análise.

O motivo dos ataques é financeiro e, especificamente, o ganho pessoal dos hackers, de acordo com a Mandiant.

A ciberespionagem por parte do grupo APT41 não é um fenômeno novo, afirmou o relatório, fazendo referência ao longo histórico de varredura em massa e exploração de vulnerabilidades pela organização. O APT41 é conhecido por ter como alvo sistemas e redes de computadores e internet em indústrias e setores tão diversos como bancos, defesa, educação, indústria jurídica, petróleo e gás, imóveis, telecomunicações e viagens.

Em 2020, cinco cidadãos chineses do grupo de hackers foram indiciados nos Estados Unidos por acusações relacionadas a campanhas de hackers para roubar segredos comerciais e informações confidenciais de mais de 100 empresas e entidades em todo o mundo.

O que diferencia as violações detalhadas no novo relatório é o direcionamento deliberado dos governos estaduais dos EUA.

O relatório da Mandiant detalhou que o alvo favorito dos hackers chineses tem sido o aplicativo USAHerds, que 18 estados utilizam para acompanhar a saúde dos animais e coordenar as respostas a quaisquer surtos. Três investigações realizadas em 2021 levaram a descobertas de que o APT41 havia aproveitado uma vulnerabilidade de dia zero no aplicativo USAHerds para violar sua segurança.

A Mandiant também relata a surpreendente descoberta de que, mesmo depois que uma vulnerabilidade altamente semelhante veio à tona no Microsoft Exchange Server, que fez uso de uma decriptionKey e uma chave de validação estática, as instalações do USAHerds dependiam dos mesmos valores de machineKey.

O novo relatório vem em meio a alertas de que o regime chinês está a caminho de se tornar uma superpotência cibernética global. É também a mais recente de uma série de violações supostamente atribuídas a hackers patrocinados pelo Estado chinês.

Suspeita-se amplamente que Hackers chineses tenham orquestrado o ataque cibernético de longa data anunciado no mês passado, que teve como alvo a News Corp., editora do Wall Street Journal e do New York Post.

No ano passado, os Estados Unidos atribuíram a violação massiva do servidor de e-mail da Microsoft a hackers afiliados à principal agência de inteligência do regime, o Ministério da Segurança do Estado. O hack comprometeu dezenas de milhares de sistemas globalmente.

Entre para nosso canal do Telegram

Assista também:

 
Matérias Relacionadas