O Centro Nacional de Resposta a Emergências de Vírus de Computador da China (CVERC) reforçou suas alegações de que o ator de ameaças conhecido como Volt Typhoon é uma fabricação dos EUA e seus aliados.
A agência, em colaboração com o Laboratório Nacional de Engenharia para Tecnologia de Prevenção a Vírus de Computador, acusou o governo federal dos EUA, as agências de inteligência e os países do Five Eyes de conduzirem atividades de ciberespionagem contra a China, França, Alemanha, Japão e usuários de internet em todo o mundo.
Também disse que há "provas concretas" indicando que os EUA realizam operações de bandeira falsa numa tentativa de ocultar seus próprios ataques cibernéticos maliciosos, adicionando que está inventando o "tão chamado perigo de ataques cibernéticos chineses" e que estabeleceu uma "rede de vigilância da internet global em larga escala".
"E o fato de os EUA adotarem ataques à cadeia de suprimentos, implantarem backdoors em produtos de internet e 'pre-posicionados' desmascarou completamente o Volt Typhoon – uma farsa política escrita, dirigida e atuada pelo governo federal dos EUA", disse.
A base militar dos EUA em Guam não foi vítima dos ataques cibernéticos do Volt Typhoon de forma alguma, mas o iniciador de um grande número de ciberataques contra a China e muitos países do Sudeste Asiático e o centro de backhaul de dados roubados.
Vale ressaltar que um relatório anterior publicado pelo CVERC em julho caracterizou o Volt Typhoon como uma campanha de desinformação orquestrada pelas agências de inteligência dos EUA.
Volt Typhoon é o codinome atribuído a um grupo de ciberespionagem com nexos com a China que se acredita estar ativo desde 2019, se embutindo sorrateiramente em redes de infraestrutura crítica roteando o tráfego através de dispositivos de borda comprometendo roteadores, firewalls e hardware de VPN numa tentativa de se misturar e passar despercebida.
Tão recentemente quanto no final de agosto de 2024, foi vinculado à exploração de zero-day de uma falha de segurança de alta gravidade impactando o Versa Director (
CVE-2024-39717
, pontuação CVSS: 6.6) para entregar um web shell chamado VersaMem para facilitar o roubo de credenciais e executar código arbitrário.
O uso de dispositivos de borda por conjuntos de intrusão vinculados à China tornou-se algo de um padrão nos últimos anos, com algumas campanhas aproveitando-os como Operational Relay Boxes (ORBs) para evitar detecção.
Isso é comprovado por um relatório recente publicado pela empresa francesa de cibersegurança Sekoia, que atribuiu atores de ameaças provavelmente de origem chinesa a uma campanha de ataque de grande alcance que infecta dispositivos de borda como roteadores e câmeras para implantar backdoors como GobRAT e Bulbature para ataques subsequentes contra alvos de interesse.
"Bulbature, um implante que ainda não havia sido documentado em fonte aberta, parece ser usado apenas para transformar o dispositivo de borda comprometido em um ORB para relatar ataques contra redes de vítimas finais", disseram os pesquisadores.
Essa arquitetura, consistindo de dispositivos de borda comprometidos agindo como ORBs, permite que um operador realize operações cibernéticas ofensivas ao redor do mundo próximas aos alvos finais e esconda sua localização criando proxies sob demanda.
No mais recente documento de 59 páginas, as autoridades chinesas afirmaram que mais de 50 especialistas em segurança dos EUA, Europa e Ásia contataram o CVERC, expressando preocupações relacionadas ao "narrativa falsa dos EUA" sobre o Volt Typhoon e a falta de evidências ligando o ator de ameaça à China.
O CVERC, no entanto, não nomeou esses especialistas, nem suas razões para apoiar a hipótese.
Foi além ao afirmar que as agências de inteligência dos EUA criaram um kit de ferramentas furtivo chamado Marble não mais tarde que 2015 com a intenção de confundir esforços de atribuição.
"O kit de ferramentas é uma estrutura de ferramenta que pode ser integrada a outros projetos de desenvolvimento de ciberarmas para auxiliar desenvolvedores de ciberarmas a ofuscar várias características identificáveis no código do programa, efetivamente 'apagando' as 'impressões digitais' dos desenvolvedores de ciberarmas", disse.
O que é mais, a estrutura tem uma função 'mais descarada' para inserir strings em outros idiomas, como chinês, russo, coreano, persa e árabe, o que é obviamente intencionado para enganar investigadores e incriminar a China, Rússia, Coreia do Norte, Irã e países árabes.
O relatório aproveita a oportunidade para acusar os EUA de se apoiar em suas "vantagens tecnológicas inatas e vantagens geológicas na construção da internet" para controlar cabos de fibra óptica através do Atlântico e do Pacífico e usá-los para "monitoramento indiscriminado" de usuários da internet em todo o mundo.
Também alegou que empresas como Microsoft e CrowdStrike recorreram a dar nomes "absurdos" com "conotações geopolíticas óbvias" para grupos de atividades de ameaça com nomes como "tufão", "panda" e "dragão".
"Mais uma vez, gostaríamos de apelar para uma ampla colaboração internacional neste campo", concluiu.
Além disso, empresas de cibersegurança e instituições de pesquisa devem focar na pesquisa de tecnologia contra ameaças cibernéticas e em melhores produtos e serviços para os usuários.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...