Vários provedores de banda larga nos EUA, incluindo Verizon, AT&T e Lumen Technologies, foram invadidos por um grupo de hackers chineses conhecido como Salt Typhoon, segundo relata o Wall Street Journal.
O objetivo do ataque parece ser a coleta de inteligência, já que os hackers podem ter tido acesso a sistemas utilizados pelo governo federal dos EUA para pedidos de interceptação de rede autorizados por tribunais.
Não está claro quando a invasão ocorreu, mas o WSJ cita pessoas familiarizadas com o assunto, dizendo que "por meses ou mais, os hackers podem ter mantido acesso à infraestrutura de rede usada para cooperar com pedidos legais dos EUA para dados de comunicação."
Salt Typhoon é o nome que a Microsoft deu a esse ator de ameaça específico baseado na China.
Outras empresas de cibersegurança estão rastreando o adversário como Earth Estries (Trend Micro), FamousSparrow (ESET), Ghost Emperor (Kaspersky) e UNC2286 (Mandiant, agora parte do Google Cloud).
Segundo o WSJ, o ataque foi descoberto nas últimas semanas e está sendo investigado pelo governo dos EUA e especialistas em segurança do setor privado.
O impacto do ataque - quantidade e tipo de dados observados e exfiltrados - ainda está sendo avaliado, pessoas com informações sobre a intrusão informaram ao WSJ.
Além de violar os provedores de serviços nos EUA, o Salt Typhoon pode ter hackeado entidades semelhantes em outros países também.
O Salt Typhoon está ativo desde pelo menos 2019 e é considerado um grupo de hackers sofisticado focado em entidades governamentais e empresas de telecomunicações, tipicamente na região do Sudeste Asiático.
Pesquisadores de segurança também descobriram que o ator de ameaça atacou hotéis, empresas de engenharia e escritórios de advocacia no Brasil, Burkina Faso, África do Sul, Canadá, Israel, França, Guatemala, Lituânia, Arábia Saudita, Taiwan, Tailândia e Reino Unido.
Os hackers geralmente obtêm acesso inicial à rede alvo explorando vulnerabilidades, como as vulnerabilidades ProxyLogon no Microsoft Exchange Server (
CVE-2021-26857
,
CVE-2021-26858
,
CVE-2021-27065
, CVE-2021-27078.
Essa descrição em Português do Brasil ficaria assim:
Vulnerabilidade de Execução Remota de Código no Microsoft Exchange Server. Este ID de CVE é único em relação às outras vulnerabilidades conhecidas como CVE-2021-26412, CVE-2021-26854,
CVE-2021-26857
,
CVE-2021-26858
,
CVE-2021-27065
, CVE-2021-27078.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...