.
As equipes de hackers que trabalham para o governo chinês pretendem penetrar nos confins da infraestrutura dos EUA e estabelecer presenças permanentes lá, se possível. Nos últimos dois anos, eles conseguiram algumas vitórias que podem ameaçar seriamente a segurança nacional.
Se isso não estava claro antes, três relatórios divulgados na semana passada o tornam abundantemente. Em um publicado pela empresa de segurança Kaspersky, os pesquisadores detalharam um conjunto de ferramentas avançadas de espionagem usadas nos últimos dois anos por um grupo para estabelecer um “canal permanente para exfiltração de dados” dentro da infraestrutura industrial principalmente na Europa e nos EUA. Um segundo relatório publicado no domingo pelo The New York Times disse que um grupo diferente que trabalha para o governo chinês escondeu malware que pode causar interrupções nas profundezas da infraestrutura crítica usada pelas bases militares dos EUA em todo o mundo. Esses relatórios surgiram nove dias depois que a Microsoft revelou uma violação de contas de e-mail pertencentes a 25 de seus clientes de nuvem, incluindo os Departamentos de Estado e Comércio.
As operações parecem vir de departamentos separados dentro do governo chinês e visam diferentes partes da infraestrutura dos EUA e da Europa. O primeiro grupo, rastreado sob o nome de Zircônio, pretende roubar dados dos alvos que infecta. Um grupo diferente, conhecido como Volt Typhoon, de acordo com o NYT, visa obter a capacidade de longo prazo de causar interrupções dentro das bases americanas, possivelmente para uso em caso de conflito armado. Em ambos os casos, os grupos estão se esforçando para criar cabeças-de-ponte permanentes onde possam se estabelecer sub-repticiamente.
APT busca relacionamento de longo prazo com dispositivo air-gapped
Um relatório publicado pela Kaspersky há duas semanas (parte 1) e segunda-feira (parte 2) detalhou 15 implantes que fornecem ao zircônio toda uma gama de recursos avançados. As capacidades dos implantes vão desde o estágio um, acesso remoto persistente a máquinas hackeadas, até um segundo estágio que coleta dados dessas máquinas – e quaisquer dispositivos sem ar aos quais eles se conectam – até um terceiro estágio usado para carregar dados roubados para dispositivos controlados por zircônio. servidores de comando.
Zircônio é um grupo de hackers que trabalha para a República Popular da China. A unidade tem tradicionalmente como alvo uma ampla gama de entidades industriais e de informação, incluindo organizações governamentais, financeiras, aeroespaciais e de defesa e negócios nos setores de tecnologia, construção, engenharia, telecomunicações, mídia e seguros. Zircônio, que também é rastreado sob os nomes APt31 e Judgment Panda, é um exemplo de APT (ameaça persistente avançada), uma unidade que hackeia para, em nome de, ou como parte de um estado-nação.
Quando cobri o zircônio pela última vez em 2021, o governo da França havia alertado que o grupo havia comprometido um grande número de roteadores domésticos e de escritório para uso como caixas de retransmissão que fornecem anonimato para realizar reconhecimento e ataques furtivos. A Agência Nacional de Segurança de Sistemas de Informação da França (ANSSI) alertou empresas e organizações nacionais na época que a “grande campanha de intrusão [was] impactando inúmeras entidades francesas”.
O relatório da Kaspersky mostra que, mais ou menos na mesma época do ataque em larga escala ao roteador, a Zircônio estava ocupada com outro grande empreendimento – um que envolvia o uso de 15 implantes para extrair informações confidenciais fortificadas profundamente nas redes-alvo. O malware normalmente é instalado no que é conhecido como seqüestro de DLL. Esses tipos de ataques encontram maneiras de injetar código malicioso nos arquivos DLL que fazem com que vários processos do Windows funcionem. O malware cobriu seus rastros usando o algoritmo RC4 para criptografar dados até pouco antes de serem injetados.
Um componente worm do malware, disse a Kaspersky, pode infectar unidades removíveis que, quando conectadas a um dispositivo isolado, localizam dados confidenciais armazenados lá e os copiam. Quando conectado novamente a uma máquina conectada à Internet, o dispositivo de disco infectado o grava lá.
“Ao longo da investigação, os pesquisadores da Kaspersky observaram os esforços deliberados dos agentes de ameaças para evitar a detecção e a análise”, escreveu Kaspersky. “Eles conseguiram isso ocultando a carga em formato criptografado em arquivos de dados binários separados e incorporando código malicioso na memória de aplicativos legítimos por meio de sequestro de DLL e uma cadeia de injeções de memória.”
.
