Em 2024, um ciberataque de grande escala resultou na invasão da infraestrutura dos Estados Unidos, e chegou a se estender até mesmo às eleições. Na ocasião, o incidente polêmico foi atribuído à China e recebeu o codinome de “Salt Typhoon” – contudo, não foi possível estimar a dimensão dos dados comprometidos. Após um ano de investigações, veio a conclusão: praticamente todos os cidadãos norte-americanos podem ter sido afetados.
A estimativa vem da ex-funcionária da divisão cibernética do FBI, Cynthia Kaiser, que supervisionou o período de investigações. Segundo o comunicado oficial sobre o caso, liberado no último sábado (27), a campanha da Salt Typhoon se estendeu ao longo de anos, com etapas coordenadas até um objetivo – a infiltração sistemática de setores fundamentais para a economia dos Estados Unidos. Entre os sistemas comprometidos, há empresas de telecomunicações, redes do governo, de transporte e hospedagem, e até infraestrutura militar.
Apesar da dimensão do ataque, seu real objetivo segundo as autoridades era a contraespionagem – ou seja, a ação deliberada contra os interesses de outro país. Isso, pois, com material obtido, os agentes maliciosos alcançaram a capacidade de rastrear indivíduos por meio de redes de comunicação, além de interceptar mensagens sensíveis.
Donald Trump foi um dos principais alvos do ataque Chinês
Nesse contexto, o relatório aponta que os principais alvos seriam figuras políticas, espiões e ativistas. Entre as pessoas de interesse, é claro, estava o atual presidente norte-americano, Donald Trump, além de seu vice, JD Vance. Até o momento, não há confirmação de que eles foram, de fato, comprometidos pelo ataque.
No entanto, vale lembrar que a ambição do ciberataque não é irreal, já que até mesmo a própria Casa Branca já foi comprometida em um hack. O caso em questão ocorreu ainda em 2020, quando os sistemas da SolarWinds foram invadidos e provocaram uma reação em cadeia. O resultado não teve precedentes: durante meses, os criminosos puderam monitorar os sistemas de câmera da sede da democracia norte-americana.
Batizado de Sunburst, o malware mobilizou mais de US$ 90 milhões apenas em custos de reação e perícia, afetando áreas importantes do governo dos Estados Unidos – como o Departamento de Justiça, Segurança Interna, Comercio, Tesouro e mais. Além disso, empresas de tecnologia também foram afetadas, entre elas: FireEye, Microsoft, Intel, Cisco, Deloitte e Mandiant.
Assim como o Salt Typhoon, o ataque com o Sunburst chamou atenção pela sua escala e sofisticação, levando meses de preparação até ser executado. Ele foi relacionado à Rússia, sob o nome de Cozy Bear (APT29).
Ataque chinês afetou mais de 80 países
Atribuídos a pelo menos três empresas chinesas do ramo da cibersegurança, os ataques são parte de uma campanha internacional. Segundo o relatório, também assinado por outras potências cibernéticas, estima-se que mais de 80 países possam ter sido afetados de maneira similar. Assim como no caso norte-americano, o objetivo seria fornecer à China a capacidade de identificar e rastrear indivíduos a nível global.
Para alcançar essa escala, o ataque teria contado com apoio direto do Estado Chinês, e envolveu uma coalizão de agentes maliciosos. Entre alguns dos nomes já rastreados pelas autoridades de cibersegurança, além de Salt Typhoon, estão: Operator Panda, RedMike,UNC5807 e GhostEmperor.
)
Sobre o caso, a ex-diretora-adjunta de inovação digital da CIA, Jennifer Ewbank, comenta: “De muitas maneiras, o Salt Typhoon marca um novo capítulo”. Comparando com a atuação cibernética da China nas últimas décadas, ela destaca os avanços nas técnicas e na disciplina nos ataques.
Como ocorreu o ataque chinês Salt Typhoon?
No relatório oficial, as autoridades admitem que ainda não foi possível determinar como o acesso inicial foi conquistado – ou seja, o primeiro ponto de falha para desencadear todo o caso. Similarmente, os dados também apontam que não houve o abuso de uma vulnerabilidade desconhecida, algo chamado de Falha de Dia Zero, ou Zero Day Flaw.
Na verdade, desde 2021, os cibercriminosos têm explorado diferentes táticas para invadir redes corporativas, incluindo a alteração de roteadores para se mover entre sistemas e o uso de containers virtualizados em dispositivos de rede – medidas que dificultam sua detecção. Essas técnicas evoluem conforme deixam de ser eficazes, mas não deixam de compor a “caixa de ferramenta” dos invasores.
Tentando mitigar esse problema, o relatório elenca uma pequena lista de vulnerabilidades e exposições comuns (CVE), ainda não corrigidas, que podem ter contribuído neste ataque:
- CVE-2024-21887: Brecha em sistemas Ivanti que permite que invasores executem comandos maliciosos. Normalmente, ela é usada junto com outra falha (CVE-2023-46805) que facilita o acesso sem precisar de senha;
- CVE-2024-3400: Falha em firewalls da Palo Alto que pode permitir que hackers assumam o controle do equipamento sem precisar se autenticar, explorando o recurso GlobalProtect em algumas versões específicas;
- CVE-2023-20273: Problema no sistema Cisco IOS XE que pode dar privilégios de administrador a invasores depois que eles conseguem se autenticar, muitas vezes usado junto da CVE-2023-20198;
- CVE-2023-20198: Vulnerabilidade em dispositivos Cisco IOS XE que deixa hackers criarem contas administrativas sem autorização, facilitando ataques;
- CVE-2018-0171: Falha antiga em equipamentos Cisco que permite que invasores controlem o sistema remotamente.
Por meio destas falhas, os cibercriminosos abusavam servidores privados (VPS) e comprometiam roteadores intermediários desprotegidos. Os alvos eram serviços de rede e telecomunicações, incluindo provedores de internet. Adiante, os ataques eram realizados independente dos usuários em cada máquina, mesmo se não pertencessem à lista de alto interesse. Com o escopo amplo de atuação, os agentes maliciosos conseguiriam mais possibilidades e ângulos para perpetuar a invasão.
Uma vez comprometidos, os criminosos usavam esses sistemas para acessar conexões confiáveis e, assim, navegar sem restrição entre redes privadas – muitas vezes, envolvendo ambientes corporativos. Para piorar a situação, também há indício de que um grande número de dispositivos expostos na internet foi explorado, e deixaram “as portas abertas” para o retorno dos invasores.
É possível se proteger de um ataque deste nível?
Por se tratar de um ataque cibernético massivo, que comprometeu diretamente infraestruturas de comunicação e serviço, as possibilidades de defesa a nível de usuário se tornam bem menores. Contudo, ainda é possível mitigar os danos e eventuais problemas com boas práticas.
- Utilize senhas complexas, com pelo menos 16 dígitos, incluindo símbolos especiais (%$@~!);
- Não repita senhas entre serviços e plataformas, além de alterá-las a cada seis meses;
- Para facilitar esse processo, utilize um gerenciador de senhas;
- Utilize múltiplos fatores de autenticação, caso a primeira senha seja comprometida;
- Não utilize softwares pirateados, já que eles podem conter códigos maliciosos e abrir portas para invasões;
- Não instale dispositivos ligados à internet das coisas, como câmeras e caixas de som, em sua rede principal;
- Não utilize dispositivos ligados à internet sem o selo de alguma agência reguladora, como a Anatel;
Fique por dentro dos golpes cibernéticos mais comuns e saiba como se proteger. Siga o TecMundo nas redes sociais e no YouTube, e assine nossa newsletter para receber as últimas notícias sobre segurança e tecnologia direto no seu e-mail.
Fonte ==> TecMundo
