O grupo de hackers patrocinado pelo Estado chinês, conhecido como Salt Typhoon, invadiu e permaneceu não detectado em uma rede da Guarda Nacional do Exército dos EUA por nove meses em 2024, roubando arquivos de configuração da rede e credenciais de administrador que poderiam ser usadas para comprometer outras redes governamentais.
Salt Typhoon é um grupo de hackers patrocinado pelo Estado chinês, acredita-se ser filiado à agência de inteligência Ministério da Segurança do Estado (MSS) da China.
O grupo de hackers ganhou notoriedade nos últimos dois anos por sua onda de ataques a provedores de telecomunicações e de banda larga em todo o mundo, incluindo AT&T, Verizon, Lumen, Charter, Windstream e Viasat.
O objetivo de alguns desses ataques era obter acesso a registros de chamadas sensíveis, comunicações privadas e sistemas de escuta telefônica utilizados pelo governo dos EUA.
Um memorando do Departamento de Segurança Interna (DHS) de 11 de junho, primeiramente reportado pela NBC, diz que Salt Typhoon invadiu a rede da Guarda Nacional do Exército de um estado dos EUA por nove meses entre março e dezembro de 2024.
Durante esse tempo, os hackers roubaram diagramas de rede, arquivos de configuração, credenciais de administrador e informações pessoais dos membros do serviço que poderiam ser usadas para invadir as redes da Guarda Nacional e do governo em outros estados.
"Entre março e dezembro de 2024, Salt Typhoon comprometeu extensivamente a rede da Guarda Nacional do Exército de um estado dos EUA e, entre outras coisas, coletou sua configuração de rede e seu tráfego de dados com as redes correspondentes em todos os outros estados dos EUA e pelo menos quatro territórios dos EUA, de acordo com um relatório do DOD," lê-se no memorando.
Esses dados também incluíam as credenciais de administrador dessas redes e diagramas de rede — que poderiam ser usados para facilitar hacks subsequentes de Salt Typhoon nessas unidades.
O memorando ainda afirma que Salt Typhoon utilizou previamente topologias de rede e arquivos de configuração roubados para comprometer infraestruturas críticas e agências do governo dos EUA.
"Salt Typhoon já usou arquivos de configuração de rede exfiltrados para habilitar intrusões cibernéticas em outros lugares," continuou o memorando.
Entre janeiro e março de 2024, Salt Typhoon exfiltrou arquivos de configuração associados a outras entidades do governo dos EUA e infraestruturas críticas, incluindo pelo menos duas agências de governo estaduais dos EUA.
Pelo menos um desses arquivos mais tarde informou seu comprometimento de um dispositivo vulnerável na rede de outra agência do governo dos EUA.
Arquivos de configuração de rede contêm as configurações, perfis de segurança e credenciais configuradas em dispositivos de rede, como roteadores, firewalls e gateways VPN.
Essa informação é valiosa para um invasor, pois pode ser usada para identificar caminhos e credenciais para outras redes sensíveis que normalmente não são acessíveis pela Internet.
O DHS adverte que entre 2023 e 2024, Salt Typhoon roubou 1.462 arquivos de configuração de rede associados a aproximadamente 70 entidades de governo dos EUA e infraestruturas críticas de 12 setores.
Embora não tenha sido divulgado como Salt Typhoon invadiu a rede da Guarda Nacional, é conhecido que Salt Typhoon visa vulnerabilidades antigas em dispositivos de rede, como roteadores Cisco.
O memorando do DHS compartilhou as seguintes vulnerabilidades que Salt Typhoon explorou no passado para invadir redes:
-
CVE-2018-0171
: Um defeito crítico no Cisco IOS e IOS XE Smart Install que permite a execução remota de código via pacotes TCP especialmente elaborados.
-
CVE-2023-20198
: Um zero-day que afeta a UI web do Cisco IOS XE que permite acesso remoto não autenticado aos dispositivos.
-
CVE-2023-20273
: Uma falha de escalonamento de privilégios também visando a IOS XE que permite aos hackers executar comandos como root.
Essa falha foi vista em conjunto com
CVE-2023-20198
para manter persistência.
-
CVE-2024-3400
: Uma vulnerabilidade de injeção de comando no PAN-OS GlobalProtect da Palo Alto Networks, que permite a atacantes não autenticados executar comandos nos dispositivos.
O DHS também compartilhou os seguintes endereços IP que foram usados por Salt Typhoon ao explorar as vulnerabilidades acima:
Em ataques anteriores, os hackers exploraram roteadores Cisco não corrigidos em ambientes de telecomunicações para ganhar acesso à infraestrutura.
Os atacantes usaram esse acesso para espionar comunicações de campanhas políticas e legisladores dos EUA.
Como parte desses ataques, os atores de ameaças implantaram malware personalizado denominado JumblePath e GhostSpider para vigiar redes de telecomunicações.
O memorando do DHS insta as equipes de cibersegurança da Guarda Nacional e do governo a garantir que essas falhas tenham sido corrigidas e a desativar serviços desnecessários, segmentar o tráfego SMB, implementar assinatura SMB e reforçar controles de acesso.
Um porta-voz do Bureau da Guarda Nacional confirmou a violação à NBC, mas recusou-se a compartilhar especificidades, afirmando que não havia interrompido missões federais ou estaduais.
A embaixada da China em Washington não negou o ataque, mas afirmou que os EUA não forneceram "evidências conclusivas e confiáveis" de que Salt Typhoon está vinculado ao governo chinês.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...