Os Hackers Chineses do Volt Typhoon Operaram Indetectados por 5 Anos em uma Infraestrutura Crítica dos EUA

O governo dos EUA revelou recentemente que um sofisticado grupo de hackers patrocinado pelo Estado chinês, identificado como Volt Typhoon, conseguiu infiltrar-se em redes de infra-estruturas críticas nos Estados Unidos e em Guam, permanecendo sem ser detectado durante impressionantes cinco anos. Estes sistemas críticos visados pelo Volt Typhoon abrangem vários setores, incluindo comunicações, energia, transporte e gestão de água e águas residuais.

O que distingue as atividades do Volt Typhoon é a sua abordagem não convencional, divergindo das operações típicas de espionagem cibernética. De acordo com as autoridades dos EUA, as tácticas do grupo sugerem um esforço premeditado para estabelecer uma posição nas redes de TI, permitindo-lhes manobrar em direcção a activos de Tecnologia Operacional (TO) com a intenção de perturbar funções essenciais.

O comunicado conjunto divulgado pela Agência de Segurança Cibernética e de Infraestrutura (CISA), pela Agência de Segurança Nacional (NSA) e pelo Federal Bureau of Investigation (FBI), juntamente com o apoio das nações da aliança de inteligência Five Eyes, destaca a gravidade da situação. Este grupo de hackers, também conhecido como Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda ou Voltzite, está ativo pelo menos desde junho de 2021.

O modus operandi do Volt Typhoon envolve a utilização de técnicas avançadas, como “viver da terra” (LotL), permitindo-lhes operar secretamente, combinando atividades maliciosas com comportamento de rede legítimo. Além disso, eles empregam proxies multi-hop, como o KV-botnet, para ofuscar as origens de seus ataques, tornando a atribuição um desafio.

A CrowdStrike, uma empresa de segurança cibernética, observou a dependência do Volt Typhoon numa extensa gama de ferramentas de código aberto adaptadas a vítimas específicas, demonstrando um elevado nível de sofisticação e planeamento estratégico. O grupo conduz meticulosamente o reconhecimento, adapta suas táticas aos ambientes-alvo e mantém a persistência por meio do uso de contas válidas e fortes medidas de segurança operacional.

Um dos seus principais objetivos é obter credenciais de administrador nas redes, explorando falhas de escalonamento de privilégios para facilitar o movimento lateral e o reconhecimento. Sua estratégia de longo prazo envolve manter o acesso a ambientes comprometidos, refinando continuamente suas técnicas para evitar a detecção e expandir os acessos não autorizados.

Além das credenciais roubadas, o Volt Typhoon emprega técnicas LotL para evitar deixar rastros de malware, melhorando sua furtividade e segurança operacional. Eles chegam ao ponto de excluir registros direcionados para ocultar suas ações em ambientes comprometidos, complicando ainda mais os esforços para descobrir suas atividades.

Esta revelação coincide com as conclusões do Citizen Lab relativamente a uma campanha de influência generalizada, denominada PAPERWALL, envolvendo mais de 123 websites que se fazem passar por meios de comunicação locais em 30 países. Esses sites, vinculados a uma empresa de relações públicas com sede em Pequim chamada Shenzhen Haimaiyunxiang Media Co., Ltd., divulgam conteúdo pró-China e removem artigos críticos após a publicação.

Embora a embaixada chinesa em Washington rejeite as alegações de desinformação, estes incidentes sublinham a crescente preocupação com as capacidades cibernéticas da China e as operações de influência à escala global.