Ataque cibernético de 4 meses contra empresa dos EUA expõe ameaça avançada vinculada a hackers chineses

Um ataque cibernético recentemente descoberto trouxe à tona uma operação altamente sofisticada visando uma grande organização dos EUA, com evidências apontando para hackers patrocinados pelo estado da China. Essa intrusão alarmante, detalhada em um relatório da Symantec, de propriedade da Broadcom, durou pelo menos quatro meses este ano, começando em abril e potencialmente antes. O escopo e os métodos do ataque destacam as estratégias em evolução dos adversários cibernéticos e os riscos enfrentados por organizações críticas em todo o mundo.

Táticas e ferramentas sofisticadas destacam ameaças avançadas

A Symantec identificou os primeiros sinais da violação em 11 de abril de 2024 e descobriu que o ataque persistiu até agosto. Durante esse tempo, os invasores se moveram lateralmente pela rede da vítima, comprometendo inúmeras máquinas. Alguns dos sistemas visados eram Microsoft Exchange Servers, um movimento que sugere que os invasores buscavam coletar inteligência acessando dados de e-mail confidenciais.

Ferramentas de exfiltração implantadas durante a campanha confirmam ainda mais que informações valiosas foram extraídas da infraestrutura da vítima. Os hackers empregaram uma combinação de ferramentas de código aberto e utilitários integrados do Windows para promover seu ataque. Ferramentas como FileZilla, Impacket e PSCP foram implantadas junto com técnicas de living-off-the-land, aproveitando o Windows Management Instrumentation (WMI), PsExec e PowerShell para executar comandos maliciosos e se misturar à atividade legítima da rede.

O papel da China e o uso de técnicas de espionagem cibernética

Embora o nome da organização visada não tenha sido divulgado, suas operações significativas na China dão peso às suspeitas de que os invasores estavam ligados a grupos patrocinados pelo estado chinês. O ataque cibernético dependia fortemente do side-loading de DLL, uma tática característica das equipes de hackers chinesas. Os artefatos da violação se alinham com aqueles observados no "Crimson Palace", uma operação anterior apoiada pelo estado. Além disso, essa organização havia sido alvo anteriormente em 2023 de um grupo conhecido como Daggerfly, também conhecido como Bronze Highland, Evasive Panda e StormBamboo.

Implicações mais amplas para a segurança cibernética

Essa violação reflete tendências mais amplas dentro do ecossistema ofensivo cibernético da China, que a Orange Cyberdefense analisou em detalhes. As operações patrocinadas pelo estado chinês frequentemente confundem as linhas entre entidades públicas e privadas, alavancando universidades para pesquisas avançadas e empregando contratados para executar ataques. Empresas falsas são frequentemente estabelecidas por indivíduos conectados a unidades militares ou de inteligência chinesas para obscurecer a atribuição, obter infraestrutura digital e recrutar hackers sem levantar suspeitas.

Essas descobertas enfatizam a natureza persistente e avançada das operações cibernéticas chinesas. A campanha que tem como alvo essa empresa dos EUA serve como um lembrete claro do cenário de ameaças em evolução e da importância de defesas robustas de segurança cibernética para proteger ativos críticos de adversários de estados-nação.