Hackers patrocinados pelo Estado chinês visam organizações dos EUA explorando falhas conhecidas
Hackers chineses têm sido frequentemente observados realizando atividades de espionagem contra agências governamentais e entidades do setor privado em todo o mundo.
Recentemente, a CISA e o FBI publicaram um comunicado para um problema semelhante, o que sugere que os hackers patrocinados pela China estão aumentando ainda mais suas capacidades para realizar ações disruptivas, como ataques de negação de serviço ou interrupções físicas de infraestrutura crítica contra o Organizações dos EUA.
Atividades recentes
O comunicado sugere que os hackers apoiados pela China estão atualizando sua eficácia usando exploits prontamente disponíveis e kits de ferramentas de exploit para envolver rapidamente as redes alvo.
- Hackers afiliados à China têm utilizado mecanismos de busca, como o Shodan, para verificar vulnerabilidades em produtos comumente usados da Microsoft, Citrix, Pulse Secure e F5 Networks.
- Os produtos explorados e as vulnerabilidades incluem F5 Big-IP (CVE-2020-5902), Microsoft Exchange Server (CVE-2020-0688), aparelhos Citrix (CVE-2019-19781) e servidores Pulse Secure VPN (CVE-2019-11510 )
- Além disso, os hackers usam ferramentas amplamente conhecidas, incluindo o shell da web China Chopper, Cobalt Strike e Mimikatz, para obter mais acesso às redes das vítimas.
Ameaças conhecidas
Às vezes, hackers chineses foram encontrados tirando proveito de vulnerabilidades recém-anunciadas poucos dias após o anúncio.
- Em agosto, um novo malware chinês chamado Taidoor foi encontrado visando agências governamentais, corporações e grupos de reflexão dos EUA, explorando vulnerabilidades comumente conhecidas, como CVE-2009-3129 e CVE-2009-4324.
- Em junho, hackers chineses foram vistos explorando vulnerabilidades críticas no Telerik UI (CVE-2019-18935, CVE-2017-11317, CVE-2017-9248 e CVE-2017-11357), contra organizações australianas. O código de exploração para todas essas vulnerabilidades está disponível publicamente.
Recomendações de segurança
Avisos de agências de segurança cibernética devem ser considerados um item de ação de alta prioridade. Os especialistas em segurança recomendam a implementação de programas robustos de configuração e gerenciamento de patches para aumentar a segurança da rede e, ao mesmo tempo, atenuar os riscos associados.
