AT&T e Verizon são hackeadas
8 de Outubro de 2024

Vários provedores de banda larga nos EUA, incluindo Verizon, AT&T e Lumen Technologies, foram invadidos por um grupo de hackers chineses conhecido como Salt Typhoon, segundo relata o Wall Street Journal.

O objetivo do ataque parece ser a coleta de inteligência, já que os hackers podem ter tido acesso a sistemas utilizados pelo governo federal dos EUA para pedidos de interceptação de rede autorizados por tribunais.

Não está claro quando a invasão ocorreu, mas o WSJ cita pessoas familiarizadas com o assunto, dizendo que "por meses ou mais, os hackers podem ter mantido acesso à infraestrutura de rede usada para cooperar com pedidos legais dos EUA para dados de comunicação."

Salt Typhoon é o nome que a Microsoft deu a esse ator de ameaça específico baseado na China.

Outras empresas de cibersegurança estão rastreando o adversário como Earth Estries (Trend Micro), FamousSparrow (ESET), Ghost Emperor (Kaspersky) e UNC2286 (Mandiant, agora parte do Google Cloud).

Segundo o WSJ, o ataque foi descoberto nas últimas semanas e está sendo investigado pelo governo dos EUA e especialistas em segurança do setor privado.

O impacto do ataque - quantidade e tipo de dados observados e exfiltrados - ainda está sendo avaliado, pessoas com informações sobre a intrusão informaram ao WSJ.

Além de violar os provedores de serviços nos EUA, o Salt Typhoon pode ter hackeado entidades semelhantes em outros países também.

O Salt Typhoon está ativo desde pelo menos 2019 e é considerado um grupo de hackers sofisticado focado em entidades governamentais e empresas de telecomunicações, tipicamente na região do Sudeste Asiático.

Pesquisadores de segurança também descobriram que o ator de ameaça atacou hotéis, empresas de engenharia e escritórios de advocacia no Brasil, Burkina Faso, África do Sul, Canadá, Israel, França, Guatemala, Lituânia, Arábia Saudita, Taiwan, Tailândia e Reino Unido.

Os hackers geralmente obtêm acesso inicial à rede alvo explorando vulnerabilidades, como as vulnerabilidades ProxyLogon no Microsoft Exchange Server ( CVE-2021-26857 , CVE-2021-26858 , CVE-2021-27065 , CVE-2021-27078. Essa descrição em Português do Brasil ficaria assim: Vulnerabilidade de Execução Remota de Código no Microsoft Exchange Server. Este ID de CVE é único em relação às outras vulnerabilidades conhecidas como CVE-2021-26412, CVE-2021-26854, CVE-2021-26857 , CVE-2021-26858 , CVE-2021-27065 , CVE-2021-27078.

"> CVE-2021-26855 , CVE-2021-26857 , CVE-2021-26858 e CVE-2021-27065 ).

Em ataques anteriores atribuídos ao Salt Typhoon/Ghost Emperor, o ator de ameaça usou um backdoor personalizado chamado SparrowDoor, versões personalizadas da ferramenta Mimikatz para extrair dados de autenticação e um rootkit de modo kernel do Windows chamado Demodex.

Os investigadores ainda estão procurando pelo método de acesso inicial para o ataque recente.

O WSJ diz que uma das vias sendo exploradas é ganhar acesso a roteadores Cisco responsáveis por rotear o tráfego da internet.

No entanto, um porta-voz da Cisco disse ao WSJ que a empresa estava investigando o assunto, mas não recebeu indicações de que equipamentos de rede da Cisco estivessem envolvidos na violação.

Grupos de hacking APT chineses têm como alvo crescente dispositivos de rede e ISPs nos EUA e na Europa em ataques de ciberespionagem.

Em agosto, pesquisadores de cibersegurança nos Black Lotus Labs da Lumen divulgaram que atores de ameaças chineses conhecidos como "Volt Typhoon" exploraram uma falha zero-day no Versa Director para roubar credenciais e invadir redes corporativas.

Durante esses ataques, os atores de ameaças violaram vários ISPs e MSPs nos EUA e na Índia, o que se acredita não estar relacionado às violações recentes.

Em setembro, os Black Lotus Labs e a aplicação da lei interromperam um botnet chinês massivo chamado "Raptor Train" que comprometeu mais de 260.000 roteadores SOHO e câmeras IP com malware.

Esse botnet foi usado pelos atores de ameaças "Flax Typhoon" para ataques de DDoS e como um proxy para lançar ataques furtivos em outras organizações.

Embora esses ataques tenham sido atribuídos a diferentes grupos de hackers chineses, acredita-se que operem sob o mesmo guarda-chuva, compartilhando comumente infraestrutura e ferramentas.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...