A Agência de Segurança de Cibersegurança e Infraestrutura dos EUA (CISA) disse na segunda-feira que não há indícios de que o ataque cibernético visando o Departamento do Tesouro tenha afetado outras agências federais.
A agência informou que está trabalhando em estreita colaboração com o Departamento do Tesouro e a BeyondTrust para obter uma melhor compreensão da invasão e mitigar seus impactos.
"A segurança dos sistemas federais e dos dados que eles protegem é de importância crítica para nossa segurança nacional", disse a CISA.
"Estamos trabalhando agressivamente para proteger contra quaisquer impactos adicionais e forneceremos atualizações, conforme apropriado."
A declaração mais recente vem uma semana após o Departamento do Tesouro dizer que foi vítima de um "grande incidente de cibersegurança" que permitiu a atores de ameaças patrocinados pelo estado chinês acessarem remotamente alguns computadores e documentos não classificados.
O ataque cibernético, que veio à tona no início de dezembro de 2024, envolveu uma violação dos sistemas da BeyondTrust que permitiu ao adversário infiltrar-se em algumas instâncias do Remote Support SaaS da empresa, fazendo uso de uma chave API de Remote Support SaaS comprometida.
Em uma declaração atualizada em 6 de janeiro de 2025, a BeyondTrust disse que "nenhum novo cliente foi identificado além daqueles com os quais já comunicamos anteriormente." A China negou as alegações de que invadiu o Departamento do Tesouro dos EUA.
Dados compartilhados pela empresa de gerenciamento de superfície de ataque Censys mostram que até 13.548 instâncias de BeyondTrust Remote Support e Privileged Remote Access foram observadas online até 6 de janeiro.
Na semana passada, o Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro anunciou sanções contra uma empresa chinesa de cibersegurança, Integrity Technology Group, Incorporated, acusando-a de fornecer suporte de infraestrutura a outro grupo de hacking chamado Flax Typhoon como parte de uma campanha de longa duração contra a infraestrutura crítica dos EUA.
O ataque contra o Tesouro é o mais recente em uma onda de intrusões perpetradas por atores de ameaças chinesas como Volt Typhoon e Salt Typhoon, visando a infraestrutura crítica dos EUA e as redes de telecomunicações, respectivamente.
The Wall Street Journal revelou durante o fim de semana que entre as nove empresas de telecomunicações invadidas por Salt Typhoon estão a Charter Communications, Consolidated Communications e Windstream.
Algumas das outras entidades previamente identificadas incluíam AT&T, T-Mobile, Verizon e Lumen Technologies.
Em um novo relatório publicado hoje, o Bloomberg disse que o grupo de ameaças patrocinado pelo estado chinês apelidado de APT41 penetrou no ramo executivo do governo das Filipinas e sifonou dados sensíveis relacionados a disputas sobre o Mar do Sul da China como parte de uma campanha de vários anos de início de 2023 até junho de 2024.
Os desenvolvimentos também seguem um relatório do Bureau de Segurança Nacional (NSB) de Taiwan, alertando sobre o aumento da sofisticação dos ataques cibernéticos orquestrados pela China contra o país.
Um total de 906 casos de incidentes cibernéticos foram registrados contra entidades governamentais e do setor privado em 2024, um aumento em relação aos 752 em 2023.
O modus operandi envolve tipicamente a exploração de vulnerabilidades em dispositivos Netcom e a utilização de técnicas de living-off-the-land (LotL) para estabelecer pontos de apoio, evitar detecção e implantar malware para ataques subsequentes e roubo de dados.
Cadeias de ataque alternativas envolvem o envio de e-mails de spear-phishing para funcionários públicos taiwaneses.
Outros ataques chineses amplamente observados contra alvos taiwaneses estão listados abaixo:
-Ataques de negação de serviço distribuído (DDoS) nos setores de transporte e financeiro, coincidindo com exercícios militares do Exército de Libertação do Povo (PLA);
-Ataques de ransomware no setor de manufatura;
Visando startups de alta tecnologia para roubar tecnologias patenteadas
-Roubo de dados pessoais de nacionais taiwaneses para vendê-los em fóruns de cibercrime underground.
Crítica às capacidades de cibersegurança de Taiwan em plataformas de mídia social para erodir a confiança no governo
"Atacar o campo das comunicações, principalmente a indústria de telecomunicações, cresceu 650%, e atacar os campos de transporte e cadeia de suprimentos de defesa cresceu 70% e 57%, respectivamente", disse o NSB.
Aplicando técnicas de hacking diversas, a China conduziu reconhecimento, estabeleceu emboscadas cibernéticas e roubou dados através de operações de hacking visando o governo de Taiwan, infraestrutura crítica e principais empresas privadas.
O NSB também acusou a China de conduzir operações de influência contra Taiwan, realizando campanhas de desinformação buscando minar a confiança pública no governo e aumentar as divisões sociais por meio de plataformas de mídia social como Facebook e X.
Notável entre as táticas é o uso extensivo de contas inautênticas para inundar seções de comentários em plataformas de mídia social usadas pelos taiwaneses para disseminar vídeos manipulados e imagens de meme.
Atividades cibernéticas maliciosas também foram encontradas para sequestrar contas de mídia social de usuários taiwaneses para disseminar desinformação.
"A China tem usado tecnologia deepfake para fabricar clipes de vídeo de discursos de figuras políticas taiwanesas, tentando enganar a percepção e o entendimento do público taiwanês", disse o NSB.
Em particular, a China ativamente estabelece marcas de mídia convergentes ou contas proxy em plataformas como Weibo, TikTok e Instagram, trabalhando para espalhar conteúdo de mídia oficial e propaganda focada em Taiwan.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...