Google revela GLASSBRIDGE
25 de Novembro de 2024

Agências governamentais e organizações não-governamentais nos Estados Unidos tornaram-se alvo de um novo ator de ameaça do estado chinês conhecido como Storm-2077.

O adversário, acredita-se ser ativo desde pelo menos janeiro de 2024, também realizou ataques cibernéticos contra a Base Industrial de Defesa (DIB), aviação, telecomunicações e serviços financeiros e jurídicos pelo mundo, disse a Microsoft.

O cluster de atividades, a empresa adicionou, se sobrepõe a um grupo de ameaças que o Insikt Group da Recorded Future está acompanhando como TAG-100.

As cadeias de ataque envolveram a mira em vários dispositivos de borda voltados para a internet usando exploits disponíveis publicamente para ganhar acesso inicial e dropar Cobalt Strike, assim como malware de código aberto como Pantegana e Spark RAT, a empresa de cibersegurança observou em julho.

"Na última década, seguindo numerosos indiciamentos governamentais e a divulgação pública das atividades dos atores de ameaça, rastrear e atribuir operações cibernéticas originárias da China tornou-se cada vez mais desafiador à medida que os atacantes ajustam suas táticas", disse a Microsoft.

Diz-se que o Storm-2077 orquestra missões de coleta de inteligência usando e-mails de phishing para colher credenciais válidas associadas a aplicações de eDiscovery para subsequente exfiltração de e-mails, que poderiam conter informações sensíveis que poderiam habilitar os atacantes a avançar suas operações.

"Em outros casos, o Storm-2077 foi observado ganhando acesso a ambientes em nuvem através da colheita de credenciais de endpoints comprometidos", disse a Microsoft.

Uma vez que o acesso administrativo foi obtido, o Storm-2077 criou sua própria aplicação com direitos de leitura de e-mail.

A revelação vem à medida que o Grupo de Inteligência de Ameaças do Google (TAG) lançou luz sobre uma operação de influência pró-China (IO) chamada GLASSBRIDGE que emprega uma rede de sites de notícias inautênticos e serviços de newswire para amplificar narrativas alinhadas com as visões e a agenda política do país globalmente.

O gigante da tecnologia disse que bloqueou mais de mil websites operados pela GLASSBRIDGE de aparecerem nos seus produtos Google News e Google Discover desde 2022.

"Esses sites de notícias inautênticos são operados por um pequeno número de firmas de RP digitais independentes que oferecem serviços de newswire, sindicação e marketing", disse a pesquisadora do TAG, Vanessa Molter.

"Eles se passam por veículos independentes que republicam artigos da mídia estatal da RPC, comunicados de imprensa e outros conteúdos provavelmente encomendados por clientes de outras agências de RP." Isso inclui empresas conhecidas como Shanghai Haixun Technology (que inclui o cluster HaiEnergy), Times Newswire/Shenzhen Haimai Yunxiang Media (também conhecida como campanha PAPERWALL), Shenzhen Bowen Media, e DURINBRIDGE, sendo esta última uma empresa comercial distribuindo conteúdo para Haixun e DRAGONBRIDGE.

Shenzhen Bowen Media, uma firma de marketing baseada na China, também é dita como operadora do World Newswire, o mesmo serviço de distribuição de comunicados de imprensa usado por Haixun para colocar conteúdo pró-Pequim nos subdomínios de veículos de notícias legítimos, como revelado pelo Mandiant do Google em julho de 2023.

Alguns dos subdomínios identificados foram markets.post-gazette[.]com, markets.buffalonews[.]com, business.ricentral[.]com, business.thepilotnews[.]com, e finance.azcentral[.]com, entre outros.

"Os sites de notícias inautênticos operados pela GLASSBRIDGE ilustram como os atores de operações de informação adotaram métodos além das redes sociais em uma tentativa de espalhar suas narrativas", disse Molter.

Ao se passarem por veículos de notícias independentes, e muitas vezes locais, os atores de IO podem adaptar seu conteúdo a públicos regionais específicos e apresentar suas narrativas como conteúdo de notícias e editoriais aparentemente legítimos.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...