China invade redes críticas dos EUA em Guam, aumentando temores de guerra cibernética

As “ações do grupo sugerem que levante não é um objetivo exclusivamente de espionagem”, escreveu o porta-voz no enviado. “O esforço concentrado para manter o entrada a esses tipos de organizações visadas sugere que o agente da ameaço antecipa futuras operações adicionais contra esses sistemas”.

A postagem no blog da Microsoft ofereceu detalhes técnicos das invasões dos hackers que podem ajudar os defensores da rede a localizá-los e removê-los: o grupo, por exemplo, usa roteadores hackeados, firewalls e outros dispositivos de “borda” da rede porquê proxies para lançar seus dispositivos de hackers que visam incluem aqueles vendidos pelos fabricantes de hardware ASUS, Cisco, D-Link, Netgear e Zyxel. O grupo também costuma explorar o entrada fornecido por contas comprometidas de usuários legítimos, em vez de seu próprio malware, para tornar sua atividade mais difícil de detectar, parecendo benigna.

Misturar-se com o tráfico de rede regular de um escopo na tentativa de evitar a detecção é uma marca registrada do Volt Typhoon e da abordagem de outros atores chineses nos últimos anos, diz Marc Burnard, consultor sênior de pesquisa de segurança da informação da Secureworks. Uma vez que a Microsoft e a Mandiant, a Secureworks tem rastreado o grupo e observado suas campanhas. Ele acrescentou que o grupo demonstrou um “foco implacável na adaptação” para perseguir sua espionagem.

Agências do governo dos EUA, incluindo a Filial de Segurança Vernáculo, a Filial de Segurança de Infraestrutura e Cibersegurança (CISA) e o Departamento de Justiça publicaram um assessoria conjunta sobre a atividade do Volt Typhoon hoje ao lado da lucidez canadense, britânica e australiana. “Parceiros do setor privado identificaram que essa atividade afeta redes em setores críticos de infraestrutura dos EUA, e as agências de autoria acreditam que o ator poderia empregar as mesmas técnicas contra esses e outros setores em todo o mundo”, escreveram as agências.

Embora os hackers patrocinados pelo estado chinês nunca tenham lançado um ataque cibernético disruptivo contra os Estados Unidos – mesmo depois décadas de roubo de dados dos sistemas americanos – os hackers do país são periodicamente capturados dentro dos sistemas críticos de infraestrutura dos EUA. Já em 2009, oficiais de lucidez dos EUA avisou que ciberespiões chineses haviam penetrado na rede elétrica dos EUA para “mapear” a infraestrutura do país em preparação para um verosímil conflito. Dois anos detrás, a CISA e o FBI também emitiu um aviso que a China havia penetrado em oleodutos e gasodutos dos EUA entre 2011 e 2013. Os hackers do Ministério de Segurança do Estado da China foram muito mais longe em ataques cibernéticos contra os vizinhos asiáticos do país, na verdade cruzando a traço de realização ataques de destruição de dados disfarçados de ransomwareinclusive contra a empresa petrolífera estatal CPC de Taiwan.

Levante último conjunto de invasões visto pela Microsoft e Mandiant sugere que o hacking de infraestrutura sátira da China continua. Mas mesmo que os hackers do Volt Typhoon tentassem ir além da espionagem e lançar as bases para ataques cibernéticos, a natureza dessa ameaço está longe de ser clara. Finalmente, os hackers patrocinados pelo Estado são frequentemente designados para obter entrada à infraestrutura sátira de um opoente porquê uma medida preparatória em caso de um conflito porvir, já que obter o entrada necessário para um ataque disruptivo geralmente requer meses de trabalho avançado.

Essa ambigüidade nas motivações dos hackers patrocinados pelo estado quando eles penetram nas redes de outro país – e seu potencial para má tradução e escalada – é o que o professor de Georgetown Ben Buchanan chamou de “o dilema da segurança cibernética” em seu livro com o mesmo nome. “Guerrear genuinamente e gerar a opção de brigar mais tarde”, disse Buchanan à WIRED em uma entrevista de 2019, quando as tensões da guerra cibernética aumentaram entre os EUA e a Rússia, “são muito difíceis de desemaranhar”.

Traçar as linhas entre espionagem, preparação para ataques cibernéticos e ataques cibernéticos iminentes é um manobra ainda mais difícil com a China, diz Hultquist da Mandiant, dadas as instâncias limitadas do país puxando o gatilho em um evento digitalmente disruptivo – mesmo quando ele tem entrada para ocasionar um , porquê pode muito muito ter sucedido nas invasões do Volt Typhoon. “As capacidades disruptivas e destrutivas da China são extremamente opacas”, diz ele. “Cá temos uma verosímil indicação de que levante pode ser um ator com essa missão.”

Atualização às 13h50 ET, 25 de maio de 2023 com comentários adicionais da Microsoft.