O Departamento do Tesouro dos EUA, através do Office of Foreign Assets Control (OFAC), impôs sanções contra uma empresa chinesa de cibersegurança e um ator cibernético baseado em Xangai por seus supostos vínculos com o grupo Salt Typhoon e a recente violação de uma agência federal.
"Atores cibernéticos maliciosos vinculados à República Popular da China (PRC) continuam a mirar sistemas governamentais dos EUA, incluindo o recente alvo dos sistemas de tecnologia da informação (IT) do Tesouro, bem como a infraestrutura crítica sensível dos EUA", disse o Tesouro em um comunicado à imprensa.
As sanções visam Yin Kecheng, que se presume ter sido um ator cibernético por mais de uma década e afiliado ao Ministério de Segurança do Estado da China (MSS).
Kecheng, segundo o Tesouro, esteve associado à violação de sua própria rede que veio à tona este mês.
O incidente envolveu um hack dos sistemas da BeyondTrust que permitiu que os atores de ameaças se infiltrasse em algumas instâncias do Remote Support SaaS da empresa, fazendo uso de uma chave API do Remote Support SaaS comprometida.
A atividade foi atribuída a um grupo de estado-nação denominado Silk Typhoon (anteriormente Hafnium), que foi vinculado à então exploração de zero-day de múltiplas falhas de segurança (conhecidas como ProxyLogon) no Microsoft Exchange Server, no início de 2021.
De acordo com um relatório recente da Bloomberg, afirma-se que os atacantes invadiram não menos que 400 computadores pertencentes ao Tesouro e roubaram mais de 3.000 arquivos, incluindo documentos de política e viagem, organogramas, material sobre sanções e investimento estrangeiro, e dados 'Sensíveis à Aplicação da Lei'.
Eles também ganharam acesso não autorizado a computadores usados pela Secretária Janet Yellen, pelo Vice-Secretário Adewale Adeyemo e pelo Subsecretário Interino Bradley T.
Smith, bem como material sobre investigações conduzidas pelo Committee on Foreign Investment in the U.S., acrescentou o relatório.
Acredita-se que o Silk Typhoon coincida com um cluster rastreado pela Mandiant, da Google, sob o codinome UNC5221, um ator de espionagem com nexos na China conhecido por sua extensiva utilização de vulnerabilidades de zero-day da Ivanti.
As sanções também visam a Sichuan Juxinhe Network Technology Co., LTD., uma empresa de cibersegurança baseada em Sichuan que, segundo o Tesouro, esteve diretamente envolvida em uma série de ataques cibernéticos direcionados a importantes empresas de telecomunicações e provedores de serviços de internet dos EUA.
A atividade foi associada a um diferente grupo de hackeamento chinês denominado Salt Typhoon (também conhecido como Earth Estries, FamousSparrow, GhostEmperor e UNC2286).
Estima-se que o ator de ameaças esteja ativo desde pelo menos 2019.
"O MSS manteve fortes vínculos com várias empresas de exploração de redes de computadores, incluindo a Sichuan Juxinhe", disse o Tesouro.
Separadamente, o programa Rewards for Justice do Departamento de Estado está oferecendo uma recompensa de até 10 milhões de dólares por informações que possam levar à identificação ou localização de quaisquer indivíduos que estejam agindo sob a direção ou controle de um adversário patrocinado por um estado estrangeiro e se envolvam em atividades cibernéticas maliciosas contra a infraestrutura crítica dos EUA em violação do Computer Fraud and Abuse Act.
"O Departamento do Tesouro continuará a usar suas autoridades para responsabilizar atores cibernéticos maliciosos que visam o povo americano, nossas empresas e o governo dos Estados Unidos, incluindo aqueles que visaram especificamente o Departamento do Tesouro", disse Adeyemo em um comunicado.
Os ataques a provedores de serviços de telecomunicações dos EUA desde então levaram a Federal Communications Commission (FCC) a emitir novas regras exigindo que as empresas operando no setor protejam suas redes contra acesso ou interceptação ilegal de comunicações.
A presidente da FCC que está de saída, Jessica Rosenworcel, descreveu os hacks como "um dos maiores comprometimentos de inteligência já vistos".
"Essa ação é acompanhada por uma proposta de exigir que os provedores de serviços de comunicação submetam uma certificação anual à FCC atestando que criaram, atualizaram e implementaram um plano de gestão de riscos de cibersegurança, o que fortaleceria as comunicações contra futuros ataques cibernéticos", disse a FCC.
No início desta semana, Jen Easterly, diretora da Cybersecurity and Infrastructure Security Agency (CISA), disse: "O sofisticado e bem financiado programa cibernético da China representa a ameaça cibernética mais séria e significativa para nossa nação, e em particular, a infraestrutura crítica dos EUA." Easterly também revelou que o Salt Typhoon foi detectado pela primeira vez em redes federais, muito antes do grupo de espionagem cibernética se infiltrar nas redes da AT&T, Lumen Technologies, T-Mobile, Verizon e outros provedores.
As designações são apenas as mais recentes em uma longa lista de movimentos feitos pelo Tesouro em uma tentativa de combater a atividade cibernética maliciosa por atores de ameaças chineses.
Anteriormente sancionados pela agência estão outras três empresas, Integrity Technology Group (Flax Typhoon), Sichuan Silence Information Technology (Pacific Rim) e Wuhan Xiaoruizhi Science and Technology Company (APT31).
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...