Parece uma cena de um filme de espionagem moderna ou algo semelhante a um ‘meme’ mas, na verdade, o FBI está mesmo a pedir aos utilizadores de todo o mundo apoio na investigação e identificação de hackers chineses.
O alerta fala de agentes criminosos que visam dispositivos ‘edge’ e redes de organizações governamentais e de outras empresas, inseridos numa campanha global de intrusões informáticas.
“Um grupo de Ameaça Persistente Avançada terá criado e implementado malware [identificado como CVE-2020-12271] como parte de uma série generalizada de intrusões informáticas indiscriminadas, concebidas para exfiltrar dados sensíveis de firewalls em todo o mundo”, refere o Federal Bureau of Investigation.
Grupos chineses são os principais suspeitos
O alerta do FBI surge depois de a empresa de cibersegurança Sophos ter publicado informações sobre várias campanhas de intrusão de que foi alvo entre 2018 e 2023. De acordo com dados do The Hacker News citados pelo Tech Radar, a Sophos reconhece ter sido visada por ataques que exploraram os seus dispositivos periféricos de rede para implementar malware personalizado.
Esta atividade maliciosa, detalhada no relatório Pacific Rim, terá sido perpetrada por grupos chineses supostamente patrocinados pelo Estado daquele país asiático, entre os quais se incluem os APT31, APT41 e os Volt Typhoon. Refere a Sophos que o ataque mais antigo remonta a 2018 e incidiu sobre a sua subsidiária indiana Cyberoam.
A Sophos destaca também outras vulnerabilidades detetadas e usadas nos ataques, nomeadamente as CVE-2020-15069, CVE-2020-29574, CVE-2022-1040 e CVE-2022-3236.
“A partir de 2021 os cibercriminosos pareceram mudar o foco dos ataques indiscriminados generalizados para ataques altamente direcionados contra entidades específicas: agências governamentais, infraestruturas críticas, organizações de investigação, organizações ligadas à saúde, retalho, finanças e militares, especialmente ligadas à região da Ásia-Pacífico”, comunicou a Sopho.
A importância dos dispositivos ‘edge’
O The Hacker News destaca a importância cada vez maior dos dispositivos periféricos de rede, ou edge, para os ataques reportados pela Sopho. Estes dispositivos são usados pelos cibercriminosos nas etapas de acesso inicial e nas de persistência, de forma a despistar a verdadeira origem dos ataques.
Imagem: Sophos
A mesma fonte aponta para uma atividade crescente de grupos ligados à República Popular da China nos últimos meses, como o Volt Typhoon e o Storm-0940. Estes grupos têm sido observados a utilizar botnets como o KV-Botnet e o Quad7, usando routers infetados e outros dispositivos ‘edge’ para ataques de reconhecimento (para descoberta e mapeamento de sistemas, serviços ou vulnerabilidades) e de ‘password spraying’.
“Os dispositivos 'edge’ são um alvo importante para os atores baseados na República Popular da China,e a taxa a que estão a ser alvo está a aumentar”, afirmou o Chief Information Security Officer (CISO) da Sophos, Ross McKerchar.
Pela dissimulação e dispersão cada vez maior dos ataques, não será assim de estranhar que o FBI apele a um público globalmente disperso apoio na investigação.
Adianta a agência norte-americana que qualquer informação e contacto poderá ser feito através do WhatsApp, Signal ou Telegram.
