A gigante de telecomunicações dos EUA, a T-Mobile, confirmou que também foi alvo de atores de ameaças chineses que buscavam acesso a informações valiosas.
Os adversários, identificados como Salt Typhoon, violaram a empresa como parte de uma "campanha de vários meses" projetada para colher comunicações de celulares de "alvos de inteligência de alto valor".
Não está claro quais informações foram levadas, se é que alguma foi, durante a atividade maliciosa.
"A T-Mobile está monitorando de perto este ataque em toda a indústria, e até o momento, os sistemas e dados da T-Mobile não foram impactados de forma significativa, e não temos evidências de impactos nas informações dos clientes", um porta-voz da empresa foi citado dizendo ao The Wall Street Journal.
Continuaremos a monitorar isso de perto, trabalhando com colegas da indústria e as autoridades relevantes. Com o último desenvolvimento, a T-Mobile juntou-se a uma lista de grandes organizações, como AT&T, Verizon e Lumen Technologies, que foram destacadas como parte do que parece ser uma campanha de espionagem cibernética em grande escala.
Até agora, os relatórios não mencionam o grau de sucesso desses ataques, se algum tipo de malware foi instalado ou que tipos de informações eles estavam procurando.
O acesso não autorizado de Salt Typhoon aos registros de dados celulares dos americanos foi previamente divulgado pelo Politico.
Na semana passada, o governo dos EUA disse que sua investigação em andamento sobre o direcionamento da infraestrutura de telecomunicações comerciais revelou um hack "amplo e significativo" orquestrado pela República Popular da China (PRC).
"Atores afiliados à PRC comprometeram redes de várias empresas de telecomunicações para possibilitar o roubo de dados de registros de chamadas de clientes, o comprometimento de comunicações privadas de um número limitado de indivíduos, principalmente envolvidos em atividades governamentais ou políticas, e a cópia de certas informações que estavam sujeitas a pedidos de aplicação da lei dos EUA conforme ordens judiciais", disse.
Alertou ainda que a extensão e o escopo destes comprometimentos poderiam crescer conforme a investigação continua.
Salt Typhoon, que também é conhecido como Earth Estries, FamousSparrow, GhostEmperor e UNC2286, está ativo desde pelo menos 2020, de acordo com a Trend Micro.
Em agosto de 2023, a equipe de espionagem foi ligada a uma série de ataques direcionados a indústrias governamentais e tecnológicas baseadas nas Filipinas, Taiwan, Malásia, África do Sul, Alemanha e EUA.
Análises mostram que os atores de ameaças criaram metodicamente seus payloads e fizeram uso de uma combinação interessante de ferramentas e técnicas legítimas e sob medida para burlar defesas e manter acesso aos seus alvos.
"Earth Estries mantém persistência atualizando continuamente suas ferramentas e emprega backdoors para movimento lateral e roubo de credenciais", disseram os pesquisadores da Trend Micro, Ted Lee, Leon M Chang e Lenart Bermejo, em uma análise exaustiva publicada no início deste mês.
A coleta e exfiltração de dados são realizadas usando TrillClient, enquanto ferramentas como cURL são usadas para enviar informações para serviços de compartilhamento de arquivos anonimizados, empregando proxies para esconder o tráfego de backdoor. A empresa de cibersegurança disse que observou duas cadeias de ataque distintas empregadas pelo grupo, indicando que o tradecraft que Salt Typhoon tem em seu arsenal é tão amplo quanto variado.
O acesso inicial às redes alvo é facilitado pela exploração de vulnerabilidades em serviços voltados para o exterior ou utilitários de gerenciamento remoto.
Em um conjunto de ataques, o ator de ameaça foi encontrado aproveitando instalações vulneráveis ou mal configuradas de QConvergeConsole para entregar malware, como Cobalt Strike, um ladrão baseado em Go chamado TrillClient e backdoors como HemiGate e Crowdoor, uma variante do SparrowDoor que já foi usada por outro grupo ligado à China chamado Tropic Trooper.
Algumas das outras técnicas incluem o uso de PSExec para instalar lateralmente seus backdoors e ferramentas, e TrillClient para coletar credenciais de usuários de perfis de navegador da web e exfiltrá-los para uma conta Gmail controlada pelo atacante via Protocolo de Transferência de Correio Simples (SMTP) para avançar seus objetivos.
A segunda sequência de infecção, em contraste, é muito mais sofisticada, com os atores de ameaças abusando de servidores Microsoft Exchange suscetíveis para implantar o web shell China Chopper, que é então usado para entregar Cobalt Strike, Zingdoor e Snappybee (também conhecido como Deed RAT), um sucessor suspeito do malware ShadowPad.
"A entrega desses backdoors e ferramentas adicionais é feita ou via um servidor [de comando e controle] ou usando cURL para baixá-los de servidores controlados pelo atacante", disseram os pesquisadores.
Essas instalações de backdoor também são periodicamente substituídas e atualizadas." "A coleta de documentos de interesse é feita via RAR e exfiltrada usando cURL, com os dados sendo enviados para serviços de compartilhamento de arquivos anonimizados. Também utilizados nos ataques estão programas como NinjaCopy para extrair credenciais e PortScan para descoberta e mapeamento de rede.
A persistência no host é alcançada por meio de tarefas agendadas.
Em um caso, acredita-se também que Salt Typhoon tenha reaproveitado um servidor proxy da vítima para encaminhar tráfego ao servidor real de comando e controle (C2) numa tentativa de ocultar o tráfego malicioso.
A Trend Micro observou que uma das máquinas infectadas também abrigava dois backdoors adicionais chamados Cryptmerlin, que executa comandos adicionais emitidos por um servidor C2, e FuxosDoor, um implante de Internet Information Services (IIS) que é implantado em um servidor Exchange comprometido e também é projetado para executar comandos usando cmd.exe.
"Nossa análise dos TTPs persistentes de Earth Estries em operações cibernéticas prolongadas revela um ator de ameaça sofisticado e adaptável que emprega várias ferramentas e backdoors, demonstrando não apenas capacidades técnicas, mas também uma abordagem estratégica para manter acesso e controle dentro de ambientes comprometidos", disseram os pesquisadores.
Ao longo de suas campanhas, Earth Estries mostrou um profundo entendimento de seus ambientes alvo, identificando continuamente camadas expostas para reentrada.
Ao usar uma combinação de ferramentas estabelecidas e backdoors personalizados, eles criaram uma estratégia de ataque multicamadas que é difícil de detectar e mitigar.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...