O hacking do Pulse Secure VPN também atingiu transportes e empresas de telecomunicações, afirma a FireEye
Uma ampla operação de espionagem chinesa contra organizações governamentais dos Estados Unidos e da Europa se estende a outros setores comerciais do que os conhecidos anteriormente e envolve quatro novas ferramentas de hacking, disse a firma de segurança FireEye na quinta-feira.
Ao todo, dois grupos ligados à China – e outros hackers que os investigadores não identificaram – estão explorando software de rede privada virtual em violações que afetaram os setores de transporte e telecomunicações, de acordo com a FireEye. Anteriormente, a empresa havia apenas nomeado os setores de defesa, financeiro e governamental como afetados pelas violações.
Os invasores estão explorando um software VPN popular conhecido como Pulse Connect Secure para invadir redes e roubar dados confidenciais. Muitas das organizações violadas “operam em setores e indústrias alinhadas com os objetivos estratégicos de Pequim” que são descritos no mais recente “Plano Quinquenal” do governo chinês para o crescimento econômico, de acordo com a Mandiant, braço de resposta a incidentes da FireEye.
A maioria das invasões foi realizada por um grupo chamado UNC2630, que parece operar em nome do governo chinês, disse Sarah Jones, analista sênior da Mandiant Threat Intelligence. Os supostos hackers chineses estão usando quatro peças adicionais de malware para roubar dados e cobrir seus rastros.
“A atividade de ciberespionagem chinesa demonstrou uma maior tolerância ao risco e é menos limitada por pressões diplomáticas do que caracterizada anteriormente”, escreveram analistas da Mandiant em um blog na quinta-feira.
Em uma atividade separada que a Microsoft revelou em março , supostos espiões chineses exploraram falhas no software Exchange Server para roubar caixas de entrada de e-mail de organizações americanas. Alguns analistas argumentaram que esses hacks violaram as normas do ciberespaço porque o código malicioso deixado nos computadores das vítimas poderia ter sido explorado por uma série de criminosos com motivação financeira.
Um porta-voz da embaixada chinesa em Washington, DC, não respondeu imediatamente a um pedido de comentário na quinta-feira sobre as conclusões de Mandiant. Pequim nega rotineiramente a realização de ataques cibernéticos.
Responder aos supostos hacks chineses – junto com uma suposta operação russa de exploração do software SolarWinds – muitas vezes exige muito trabalho de limpeza para as autoridades americanas. Pelo menos 24 agências federais usam o Pulse Connect Secure, com alguns laboratórios de pesquisa voltados para a segurança nacional anunciando abertamente o uso do software. Pelo menos cinco agências civis podem ter sido violadas no hacking Pulse Connect Secure, de acordo com um funcionário do Departamento de Segurança Interna da Cibersegurança e Agência de Segurança de Infraestrutura (CISA).
A CISA emitiu diretrizes de emergência para agências federais para aplicar as atualizações de software Pulse Connect Secure e Exchange Server.
Em algumas das violações do Pulse Connect, os supostos espiões chineses encobriram evidências de muitos de seus compromissos enquanto a Mandiant se preparava para expor a operação no mês passado, disse a empresa de segurança.
Os analistas da Mandiant argumentam que os hackers chineses se tornaram mais eficientes e estratégicos nos últimos anos ao direcionar dados mantidos por organizações que podem ajudar Pequim a avançar em seus objetivos políticos, militares e econômicos.
“A maior ambição e tolerância ao risco demonstrada pelos legisladores chineses desde 2019 indica que o ritmo da atividade patrocinada pelo Estado chinês pode aumentar em um futuro próximo e que o aparato de ameaças cibernéticas chinês representa uma ameaça séria e renovada para as entidades comerciais dos EUA e da Europa”. os analistas alertaram.
Fonte: https://www.cyberscoop.com/
