NSA alerta sobre ataques de hacker chineses a infraestrutura critica dos EUA

A Agência de Segurança Nacional dos Estados Unidos (NSA) costuma ser discreta sobre seu trabalho e inteligência. No entanto, durante a conferência de segurança Cyberwarcon em Washington DC, dois membros do Centro de Colaboração em Cibersegurança da agência fizeram um "apelo à ação" à comunidade de cibersegurança: estejam atentos à ameaça de hackers apoiados pelo governo chinês se infiltrando na infraestrutura crítica dos EUA.

Juntamente com seus parceiros da aliança de inteligência "Five Eyes", a NSA vem alertando desde maio que um grupo patrocinado por Pequim, conhecido como Volt Typhoon, tem como alvo redes de infraestrutura crítica, incluindo redes elétricas, como parte de suas atividades.

Os oficiais enfatizaram que administradores de rede e equipes de segurança precisam estar atentos a atividades suspeitas em que hackers manipulam e usam ferramentas legítimas em vez de malware, uma abordagem conhecida como "living off the land", para realizar operações clandestinas. Acrescentaram que o governo chinês também desenvolve técnicas de intrusão e malware inovadores, graças a um substancial estoque de vulnerabilidades de zero-day que os hackers podem transformar em armas. Pequim coleta essas falhas por meio de sua própria pesquisa, além de uma lei que exige a divulgação de vulnerabilidades.

"A República Popular da China trabalha para obter acesso não autorizado a sistemas e espera pelo melhor momento para explorar essas redes", disse Morgan Adamski, diretor do Centro de Colaboração em Cibersegurança da NSA, na quinta-feira. "A ameaça é extremamente sofisticada e pervasiva. Não é fácil de encontrar. Está se posicionando com a intenção de se infiltrar silenciosamente em redes críticas a longo prazo. O fato de esses atores estarem na infraestrutura crítica é inaceitável e é algo que levamos muito a sério, algo que nos preocupa."

Mark Parsons e Judy Ng, da Microsoft, forneceram uma atualização sobre a atividade do Volt Typhoon mais tarde no Cyberwarcon. Eles observaram que, após aparentemente ficar inativo na primavera e na maior parte do verão, o grupo reapareceu em agosto com uma segurança operacional aprimorada para tornar sua atividade mais difícil de rastrear. O Volt Typhoon continuou atacando universidades e programas do Corpo de Treinamento de Oficiais da Reserva do Exército dos EUA - um tipo de vítima que o grupo favorece -, mas também foi observado atacando empresas de serviços públicos adicionais nos EUA.

"Achamos que o Volt Typhoon está fazendo isso para atividades relacionadas a espionagem, mas além disso, acreditamos que há um elemento que eles poderiam usar para destruição ou interrupção em momentos de necessidade", disse Judy Ng, da Microsoft, na quinta-feira.

Adamski, da NSA, e Josh Zaritsky, diretor de operações do Centro de Colaboração em Cibersegurança, instaram os defensores de rede a gerenciar e auditar os logs de seus sistemas em busca de atividades anômalas e armazenar logs de forma que não possam ser excluídos por um invasor que ganhe acesso ao sistema e queira ocultar suas trilhas.

Eles também enfatizaram as melhores práticas, como autenticação de dois fatores e a limitação dos privilégios de sistema de usuários e administradores para minimizar a possibilidade de os invasores comprometerem e explorarem contas em primeiro lugar. E ressaltaram que não apenas é necessário corrigir as vulnerabilidades de software, mas é crucial voltar e verificar logs e registros para garantir que não haja sinais de que a falha foi explorada antes de ser corrigida. "Vamos precisar de provedores de serviços de Internet, provedores de nuvem, empresas de segurança de endpoint, empresas de cibersegurança, fabricantes de dispositivos, todos nesta luta juntos. E esta é uma luta pela nossa infraestrutura crítica nos EUA", disse Adamski. "Os produtos, os serviços em que confiamos, tudo o que importa - é por isso que isso é importante."

Via - Wired