Diplomatas dos EUA alertam China sobre a campanha ‘Volt Typhoon’ – que está se tornando mais avançada, dizem autoridades de inteligência
Uma operação de hackers generalizada ligada a Pequim chamou a atenção de diplomatas e agências de espionagem.
SÃO FRANCISCO — A operação dos EUA que pulverizou um conjunto de equipamentos de Internet comprometidos usados por hackers chineses para realizar violações em infraestruturas críticas americanas foi apenas o início do que se tornou um desafio cibernético em rápida evolução para a comunidade de inteligência.
O diretor do FBI, Christopher Wray, anunciou a remoção autorizada pelo tribunal em uma audiência de alto nível em janeiro, dizendo aos legisladores que seus agentes cibernéticos desativaram o KV-botnet, uma entidade digital de equipamentos encadeados, incluindo câmeras e roteadores, que foi comprometida e usada para formar uma rede de transferência de dados para o grupo – conhecida como Volt Typhoon – para criar um túnel silenciosamente em infra-estruturas críticas em preparação para o que as autoridades dizem publicamente ser um conflito militar dos EUA com Pequim.
Suas operações foram significativamente desaceleradas , mas o botnet KV foi apenas um dos muitos locais de preparação. O Volt Typhoon, que se acredita estar trabalhando em nome das autoridades estatais chinesas, está usando múltiplas redes secretas agora, tornando aparentemente impossível parar completamente a entidade, disseram autoridades a repórteres na Conferência RSA em São Francisco.
A notícia chega após uma recente viagem diplomática à China há duas semanas, onde o embaixador do ciberespaço e política digital do Departamento de Estado, Nathaniel Fick, e o secretário de Estado, Anthony Blinken, disseram às autoridades chinesas em Xangai e Pequim que a atividade do tufão Volt atingiu um ponto de ebulição. Fick disse aos repórteres em um briefing separado na conferência.
A violação de infra-estruturas críticas “contraria o espírito do quadro”, disse Fick, referindo-se ao recém-revelado plano global de política digital e ciberespaço, centrado na “solidariedade digital” entre parceiros no ecossistema global da Internet.
“O secretário Blinken deixou bem claro que manter em risco a infraestrutura crítica americana – especialmente a infraestrutura crítica civil – é perigoso. É crescente. É inaceitável”, disse ele.
No plano interno, travar totalmente o Volt Typhoon representa um novo desafio. O coletivo de hackers chamou a atenção de autoridades e pesquisadores de segurança nacional pela primeira vez por volta de 2021, quando analistas detectaram seu comportamento único no ciberespaço.
“Em 2021, sabíamos que provavelmente veríamos atividades da China que representavam um tipo diferente de ameaça e intenção”, disse Morgan Adamski, chefe do Centro de Colaboração de Segurança Cibernética da NSA e futuro diretor do comando combatente CYBERCOM. O grupo estava a penetrar em ambientes de infra-estruturas que não tinham valor imediato de inteligência, contradizendo a histórica ciberespionagem chinesa .
“Pará-los é específico de cada indivíduo agora. Poderíamos detê-los em uma rede e fortalecer a rede e impedi-los de voltar para lá. Mas eles vão apenas encontrar outro alvo para perseguir que não tenha tomado as mesmas precauções”, acrescentou ela.
Os hackers do Volt Typhoon têm usado “técnicas de viver fora da terra” que lhes permitem esconder-se dentro dos sistemas e contornar a detecção, dizem relatórios dos EUA , observando que eles violaram instalações americanas em Guam e outras infra-estruturas vitais em instalações dos EUA, tanto dentro como fora do país. país.
As atividades clandestinas envolvem um comércio que é difícil de descobrir devido à dependência do grupo de credenciais de administrador roubadas que lhes permitem mascarar mais facilmente as suas explorações.
Para as vítimas visadas, elas terão que tomar medidas para gerenciar melhor as credenciais da conta, como alterar as senhas padrão que vêm automaticamente com os produtos de software enviados, usados para fazer login durante a configuração inicial.
“Não creio que alguém aqui diria que fizemos uma operação e erradicamos tudo. Não é assim que funciona”, disse Cynthia Kaiser, vice-líder da Divisão Cibernética do FBI. Olhando para o futuro, a realização de operações de remoção como a do botnet KV tira tempo dos hackers para procurarem abrigo noutros domínios exploráveis, e o objetivo é “frustrar, atrasar e impedi-los” de caçar outras redes dos EUA, acrescentou ela.
Neste ponto, as autoridades não conseguem definir um número mensurável sobre até que ponto o Volt Typhoon se espalhou. O número de vítimas comprometidas é muito difícil de medir porque ainda é constantemente perseguido, disse Adamski.
Um importante CEO da segurança cibernética disse recentemente ao Nextgov/FCW que a campanha de hackers é tão robusta e difundida que haverá vítimas visadas na operação que não saberão que foram afetadas.
“As únicas pessoas que sabem… é a RPC”, disse Andrew Scott, diretor associado da CISA para operações na China. “Eles sabem o que estão almejando, sabem onde estão almejando. Portanto, nosso trabalho é iluminar isso tanto quanto pudermos.”
