O Centro Nacional de Resposta a Emergências contra Vírus de Computador da China (CVERC) dobrou as alegações de que um ator malicioso conhecido como o tufão Volt é um projeto dos EUA e dos seus aliados.
Esta organização, em cooperação com o Laboratório Nacional de Engenharia de Tecnologia de Prevenção de Vírus de Computador, continuou a acusar o governo dos EUA, as agências de inteligência e os países dos Cinco Olhos de conduzir atividades de espionagem cibernética contra China, França, Alemanha, Japão e usuários da Internet em todo o mundo. . .
Ele também disse que há “evidências irrefutáveis” de que os EUA estão conduzindo operações de bandeira falsa na tentativa de esconder seus ataques cibernéticos maliciosos, acrescentando que isso está criando um “chamado risco de ataques cibernéticos chineses” e que criou um “ grande perigo”. -uma rede global de vigilância na Internet.”
“E o facto de os EUA terem aceitado o ataque à cadeia de abastecimento, colocando-o atrás dos produtos cibernéticos e 'colocando-o na frente' destruiu completamente o Tufão Volt – uma zombaria política escrita, dirigida e executada pelo governo dos EUA, “, disse.
“A base militar dos EUA em Guam não foi vítima do ataque cibernético Volt Typhoon, mas sim o iniciador de um grande número de ataques cibernéticos contra a China e muitos países do Sudeste Asiático e o centro para a recuperação de dados roubados”.
Vale a pena notar que um relatório anterior publicado pela CVERC em Julho caracterizou o Volt Typhoon como uma campanha de desinformação orquestrada pelas agências de inteligência dos EUA.
Volt Typhoon é o apelido atribuído a um grupo de espionagem cibernética no nexo da China que se acredita estar ativo desde 2019, incorporando-se furtivamente em infraestruturas de rede críticas, roteando o tráfego através de dispositivos de ponta que comprometem roteadores, firewalls e hardware VPN em uma tentativa de fazê-lo novamente. voar sob o radar.
Recentemente, no final de agosto de 2024, foi vinculado a uma exploração de dia zero de uma falha crítica de segurança que afetava o Versa Director (CVE-2024-39717, pontuação CVSS: 6,6) para fornecer um web shell chamado VersaMem para facilitar o roubo de dados usando malware. código.
A utilização de dispositivos periféricos por conjuntos de intrusão ligados à China tornou-se um padrão nos últimos anos, com algumas campanhas a utilizá-los como Caixas de Retransmissão Operacionais (ORBs) para evitar a deteção.
Isso é confirmado por um relatório recente publicado pela empresa francesa de segurança cibernética Sekoia, que afirma que os atores da ameaça podem ser de origem chinesa em uma campanha de ataque diversificada que ataca dispositivos de ponta, como roteadores e câmeras, para instalar backdoors como GobRAT e Bulbature para ataques subsequentes. contra motivos de lucro.
“Bulbature, um implante que ainda não foi documentado em código aberto, parece ser usado apenas para transformar um dispositivo vulnerável em um ORB para transmitir o ataque às redes finais da vítima”, disseram os pesquisadores.
“Essa arquitetura, que inclui dispositivos de ponta vulneráveis que atuam como ORBs, permite que as operadoras conduzam operações cibernéticas ofensivas em todo o mundo, perto de endpoints, e ocultem sua localização criando proxies sob demanda”.
Num documento recente de 59 páginas, as autoridades chinesas afirmaram que mais de 50 especialistas em segurança dos EUA, da Europa e da Ásia contactaram a CVERC, expressando preocupações relacionadas com a “falsa narrativa dos EUA” sobre o tufão do Volt e a falta de provas, incluindo eu sou um ator ameaçador na China.
A CVERC, no entanto, não nomeou esses especialistas nem as razões que os levaram a apoiar o parecer. Prosseguiu dizendo que as agências de inteligência dos EUA desenvolveram um kit de ferramentas secreto chamado Marble antes de 2015 com o objetivo de ofuscar os esforços do aplicativo.
“O kit de ferramentas é um kit de ferramentas que pode ser integrado com outros projetos de desenvolvimento de armas cibernéticas para ajudar os desenvolvedores de armas cibernéticas a ocultar vários recursos identificáveis no código do programa, 'apagando' efetivamente as 'impressões digitais' dos desenvolvedores de armas cibernéticas”, afirmou.
“Além disso, a agência tem a tarefa ‘vergonhosa’ de inserir telegramas em outros idiomas, como chinês, russo, coreano, persa e árabe, que têm claramente a intenção de enganar os investigadores e implicar China, Rússia, Coreia do Norte, Irã. e países árabes.”
O relatório prossegue acusando os EUA de confiarem na sua “vantagem tecnológica inerente e nas vantagens geológicas na construção da Internet” para controlar cabos de fibra óptica através do Atlântico e do Pacífico e utilizá-los para “vigilância indiscriminada” dos utilizadores da Internet. em todo o mundo.
Também foi alegado que empresas como Microsoft e CrowdStrike recorreram à atribuição de apelidos “absurdos” com “conotações geopolíticas óbvias” para ameaçar grupos de operações com nomes como “tufão”, “panda” e “dragão”.
“Mais uma vez gostaríamos de pedir uma maior cooperação internacional neste domínio”, concluiu. “Além disso, as empresas de segurança cibernética e os institutos de pesquisa devem se concentrar na pesquisa de tecnologia anticibernética e em melhores produtos e serviços para os usuários”.