.
Como hackers patrocinados pelo estado trabalhando em nome da Rússia, Irã e Coréia do Norte há anos causando estragos com ataques cibernéticos disruptivos em todo o mundo, os hackers militares e de inteligência da China mantiveram em grande parte a reputação de restringir suas invasões à espionagem. Mas quando esses ciberespiões violam a infraestrutura crítica nos Estados Unidos — e especificamente um território americano próximo à China — a espionagem, o planejamento de contingência de conflitos e a escalada da guerra cibernética começam a parecer perigosamente semelhantes.
Na quarta-feira, a Microsoft revelou em uma postagem de blog que rastreou um grupo do que acredita ser hackers patrocinados pelo estado chinês que, desde 2021, realizou uma ampla campanha de hackers direcionada a sistemas de infraestrutura crítica nos estados dos EUA e Guam, incluindo comunicações, fabricação, serviços públicos, construção e transporte.
As intenções do grupo, que a Microsoft batizou de Volt Typhoon, podem ser simplesmente espionagem, já que não parece ter usado seu acesso a essas redes críticas para realizar destruição de dados ou outros ataques ofensivos. Mas a Microsoft adverte que a natureza do alvo do grupo, inclusive em um território do Pacífico que pode desempenhar um papel fundamental em um conflito militar ou diplomático com a China, ainda pode permitir esse tipo de interrupção.
“O comportamento observado sugere que o agente da ameaça pretende realizar espionagem e manter o acesso sem ser detectado pelo maior tempo possível”, diz o post do blog da empresa. Mas combina essa declaração com uma avaliação com “confiança moderada” de que os hackers estão “buscando o desenvolvimento de recursos que possam interromper a infraestrutura crítica de comunicação entre os Estados Unidos e a região da Ásia durante crises futuras”.
A Mandiant, empresa de segurança cibernética de propriedade do Google, diz que também rastreou uma série de invasões do grupo e oferece um aviso semelhante sobre o foco do grupo em infraestrutura crítica “Não há uma conexão clara com propriedade intelectual ou informações políticas que esperamos de uma operação de espionagem”. diz John Hultquist, que chefia a inteligência de ameaças da Mandiant. “Isso nos leva a questionar se eles estão lá porque os alvos são críticos. Nossa preocupação é que o foco na infraestrutura crítica seja a preparação para um possível ataque disruptivo ou destrutivo”.
Na postagem do blog da Microsoft, ele oferecia detalhes técnicos das invasões dos hackers que podem ajudar os defensores da rede a localizá-los e removê-los: O grupo, por exemplo, usa roteadores hackeados, firewalls e outros dispositivos de “borda” da rede como proxies para iniciar seus hackers— dispositivos de segmentação, incluindo aqueles vendidos pelos fabricantes de hardware ASUS, Cisco, D-Link, NETGEAR e Zyxel. O grupo também costuma explorar o acesso fornecido por contas comprometidas de usuários legítimos, em vez de seu próprio malware, para tornar sua atividade mais difícil de detectar, parecendo benigna.
Misturar-se com o tráfego de rede regular de um alvo na tentativa de evitar a detecção é uma marca registrada do Volt Typhoon e da abordagem de outros atores chineses nos últimos anos, diz Marc Burnard, consultor sênior de pesquisa de segurança da informação da Secureworks. Como a Microsoft e a Mandiant, a empresa acompanha o grupo e observa as campanhas. Ele acrescentou que o grupo demonstrou um “foco implacável na adaptação” para perseguir sua espionagem.
.
