O Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA emitiu sanções contra uma empresa de segurança cibernética com sede em Pequim por seu papel em um ataque do grupo chinês de ciberespionagem conhecido como Flax Typhoon.
A empresa, denominada Integrity Technology Group (Integrity Tech), é acusada de fornecer a infraestrutura informática que o Flax Typhoon utilizou nas suas operações entre o verão de 2022 e o outono de 2023.
No entanto, de acordo com o conselho conjunto do FBI, da NSA e de agências de inteligência do Canadá, Austrália e Reino Unido, a empresa também manteve uma infra-estrutura de comando e controlo para a botnet que incluía mais de 260.000 dispositivos IoT.
“O Integrity Technology Group (Integrity Tech) é uma empresa sediada na RPC com ligações ao governo da RPC”, afirmaram as organizações no seu comunicado na altura. “A Integrity Tech usou os endereços IP da China Unicom Beijing Province Network para controlar e gerenciar a botnet descrita neste comunicado. Além de executar a botnet, esses mesmos endereços IP na China Unicom Beijing Province Network foram usados para acessar outras infraestruturas operacionais empregadas em operações de intrusão de computadores contra vítimas dos EUA.”
Esta operação maliciosa, que inclui colocar em risco organizações americanas no setor de infraestrutura crítica, será causada pelo Flax Typhoon, que é um grupo de ciberespionagem patrocinado pelo Estado chinês desde 2021 e também conhecido como RedJuliett e Ethereal Panda.
As sanções da OFAC bloqueiam todos os ativos da Integrity Tech localizados nos EUA ou controlados por pessoas dos EUA. Ativos de empresas nas quais a Integrity Tech detém mais de 50% de propriedade também são proibidos e todos os indivíduos e organizações estão proibidos de se envolver em atividades comerciais ou financeiras com eles ou com a empresa chinesa.
Botnet IoT global Flax Typhoon
O botnet Flax Typhoon remonta pelo menos a 2021 e é baseado no Mirai, uma família de malware para dispositivos IoT baseados em Linux cujo código está disponível publicamente. Antes de 2016, o Mirai era o maior e mais poderoso botnet IoT, responsável pelos maiores ataques DDoS já registrados. Depois que foi abandonado por seu criador e seu código foi publicado online, muitos grupos de ameaças construíram suas próprias variantes de botnet com base nele.
O botnet Flax Typhoon usa explorações conhecidas para comprometer roteadores, firewalls, câmeras IP, gravadores de vídeo digital, dispositivos de armazenamento conectados à rede e outros servidores baseados em Linux. Em Junho, a botnet tinha mais de 260.000 nós activos, mas a base de dados nos seus servidores de comando e controlo listava mais de 1,2 milhões de dispositivos vulneráveis, activos e inactivos, 385.000 dos quais estavam baseados nos EUA.
“Os servidores administrativos hospedam um aplicativo conhecido como Sparrow, que permite aos usuários interagir com a botnet”, disseram as agências de inteligência em seu comunicado de setembro. “Os atores usaram endereços IP específicos registrados na China Unicom Beijing Province Network para acessar este aplicativo, incluindo os mesmos endereços IP usados anteriormente pelo Flax Typhoon para acessar sistemas usados em operações de intrusão de computadores contra vítimas baseadas nos EUA”.
O botnet Flax Typhoon pode ser usado para lançar ataques DDoS, que fazem parte do ambiente da Mirai, mas os nós também podem ser instruídos a explorar outros dispositivos nativos nas mesmas redes usando um conjunto de explorações. Os analistas descobriram uma pequena parte do chamado “arsenal de vulnerabilidade” que poderia ser usado para tais operações de movimento lateral.
O Flax Typhoon comprometeu redes de computadores na América do Norte, Europa, África e Ásia, mas o grupo está particularmente focado em Taiwan, que está no centro dos interesses nacionais da China. Depois de obterem acesso a uma rede de interesses, os membros de gangues muitas vezes implantam sistemas legítimos de acesso remoto para manter o controle contínuo.
No início desta semana, o Ministério das Finanças revelou que o grupo APT, apoiado pelo governo chinês, obteve acesso a muitas das suas operações e obteve documentos anónimos. O acesso resultou de uma chave comprometida usada para acesso remoto seguro por meio de um serviço terceirizado da BeyondTrust. O grupo APT responsável não foi identificado publicamente.
