EUA sancionam empresa chinesa de segurança cibernética por ataque de ransomware

Os EUA sancionaram a Sichuan Silence, uma empresa chinesa de cibersegurança envolvida em ataques de ransomware contra infraestruturas críticas em 2020. Um dos seus funcionários, Guan Tianfeng, também foi acusado individualmente.

Guan, um pesquisador de segurança, descobriu uma vulnerabilidade de dia zero em um produto de firewall desenvolvido pela empresa de segurança Sophos, com sede no Reino Unido. Ele explorou a vulnerabilidade, designada CVE 2020-12271, usando um ataque de injeção SQL que recuperou e executou remotamente um script de um servidor malicioso. Guan e seus co-conspiradores registraram domínios de servidores legítimos, como sophosfirewallupdate.com.

Este script, parte do kit de ferramentas malicioso do Trojan Asnarök, foi inicialmente projetado para roubar dados como nomes de usuário e senhas dos firewalls e dos computadores por trás deles e enviá-los para um endereço IP chinês. Se a vítima tentasse reiniciar o dispositivo, o ransomware Ragnarok seria instalado automaticamente, desativando o software antivírus e criptografando todos os dispositivos Windows na rede.

No entanto, dois dias após o ataque, a Sophos implantou um patch nos firewalls afetados que não exigia reinicialização e removeu todos os scripts maliciosos. Guan então modificou o malware para instalar ransomware quando detectou a mitigação do Sophos, mas o patch impediu que isso funcionasse.

De acordo com uma acusação agora não selada sobre Guan, seus conspiradores visualizaram informações sobre o patch do Sophos no site da empresa em maio de 2020, antes de testar uma versão atualizada de sua exploração alguns dias depois.

O Tesouro sancionou tanto Sichuan Silence como Guan Tianfeng, o que significa que todos os seus activos baseados nos EUA serão bloqueados e organizações e indivíduos serão proibidos de se envolverem em transacções de fundos, bens ou serviços com eles.

“A ação de hoje sublinha o nosso compromisso de expor estas atividades cibernéticas maliciosas – muitas das quais representam um risco significativo para as nossas comunidades e os nossos cidadãos – e de responsabilizar os intervenientes por detrás delas pelos seus esquemas”, Bradley T. Smith, subsecretário interino do Tesouro. para o terrorismo e a inteligência financeira, afirmou num comunicado de imprensa.

Recompensas de até US$ 10 milhões estão disponíveis para informações sobre Guan ou outros ciberataques patrocinados pelo Estado. Acredita-se que Guan resida na província de Sichuan, na China, embora também possa viajar para Bangkok, na Tailândia.

Dezenas de milhares de firewalls usados ​​por empresas de infraestrutura crítica foram comprometidos

Entre 22 e 25 de abril de 2020, cerca de 81 mil firewalls Sophos XG usados ​​por empresas globais foram comprometidos. Mais de 23.000 desses firewalls foram usados ​​por organizações dos EUA e 36 foram usados ​​para infraestrutura crítica.

O comprometimento de infraestruturas críticas — como serviços públicos, transportes, telecomunicações e centros de dados — pode levar a perturbações generalizadas, tornando-as num alvo principal de ataques cibernéticos. Um relatório recente da Malwarebytes descobriu que a indústria de serviços é a mais afetada pelo ransomware, sendo responsável por quase um quarto dos ataques globais.

VEJA: 80% das empresas de infraestrutura nacional crítica sofreram uma violação de segurança de e-mail no ano passado

Uma vítima foi uma empresa de energia dos EUA que estava perfurando petróleo quando o ransomware Sichuan Silence foi implantado. O Escritório de Controle de Ativos Estrangeiros do Departamento do Tesouro afirma que vidas humanas poderiam ter sido perdidas se o ataque tivesse causado o mau funcionamento das plataformas petrolíferas.

Quem é o Silêncio de Sichuan?

A Sichuan Silence é uma empresa de segurança cibernética com sede em Chengdu, contratada principalmente pelos serviços de inteligência chineses. A China negou acusações de hacking feitas pelos EUA no passado, mas tem sido consistentemente associada a ataques cibernéticos nos EUA

Este mês, o Departamento Federal de Investigações e a Agência de Segurança Cibernética e de Infraestrutura identificaram que os agentes de ameaças afiliados à China “comprometeram redes em várias empresas de telecomunicações”.

VEJA: Ataque vinculado à China atinge 260.000 dispositivos, confirma FBI

De acordo com o Tesouro, a Sichuan Silence fornece aos clientes ferramentas e serviços para hackear redes, monitorar e-mails, quebrar senhas por força bruta e explorar roteadores de rede. O site da organização também afirma que possui produtos que podem escanear redes no exterior em busca de informações de inteligência.

Um dispositivo de pré-posicionamento – uma ferramenta que instala código malicioso numa rede alvo para configurar um futuro ataque cibernético – foi usado por Guan em abril de 2020 e foi descoberto que era propriedade da Sichuan Silence. O invasor também competiu em nome de sua empresa em torneios de segurança cibernética e postou explorações de dia zero que descobriu em fóruns usando o nome “GbigMao”.

Em Novembro de 2021, Meta relatou o desmantelamento de uma campanha coordenada de desinformação ligada ao Silêncio de Sichuan, que alegava falsamente que os EUA estavam a interferir nas investigações da Organização Mundial de Saúde sobre as operações da COVID-19. A desinformação foi espalhada por centenas de contas falsas no Facebook e Instagram e amplificada pelos meios de comunicação estatais chineses e por organizações ligadas ao governo.

“A escala e a persistência dos adversários do Estado-nação chinês representam uma ameaça significativa à infraestrutura crítica, bem como às empresas cotidianas inocentes, conforme observado no relatório de investigação da Orla do Pacífico da Sophos”, disse Ross McKerchar, CISO da Sophos, ao TechRepublic.

“Sua determinação incansável redefine o que significa ser uma Ameaça Persistente Avançada; interromper esta mudança exige uma ação individual e coletiva em toda a indústria, inclusive junto às autoridades policiais.

“Não podemos esperar que esses grupos desacelerem se não investirmos tempo e esforço para inová-los, e isso inclui transparência antecipada sobre vulnerabilidades e um compromisso de desenvolver software mais forte.”

Ataques a infraestruturas críticas estão aumentando

Os ataques a infra-estruturas críticas estão a crescer em popularidade. No final de 2023, o FBI descobriu um amplo ataque de botnet perpetrado pelo grupo de hackers chinês Volt Typhoon, criado a partir de centenas de routers de propriedade privada nos EUA e nos seus territórios ultramarinos.

Os atores da ameaça visaram e comprometeram os ambientes de TI das infraestruturas de comunicações, energia, transporte e água dos EUA. O Volt Typhoon conduziu centenas de ataques a infraestruturas críticas desde que se tornou ativo em meados de 2021.

VEJA: Por que a infraestrutura crítica é vulnerável a ataques cibernéticos

Outros ataques notáveis ​​a infraestruturas críticas dos últimos anos incluem o incidente do Oleoduto Colonial de 2021. A empresa – responsável por 45% do combustível da Costa Leste, incluindo gás, óleo para aquecimento e outras formas de petróleo – descobriu que foi atingida por um ataque de ransomware e foi forçada a desligar alguns dos seus sistemas, interrompendo temporariamente todas as operações do oleoduto.

Sandworm e afiliados da organização de ransomware como serviço Black Basta também têm como alvo infraestruturas críticas em todo o mundo. Ambas as empresas têm ligações com a Rússia.

Em Maio, a CISA dos EUA e várias autoridades cibernéticas internacionais alertaram sobre ataques hacktivistas pró-Rússia que visavam fornecedores de tecnologia operacional frequentemente utilizada em indústrias críticas. O comunicado destacou “atividade cibernética maliciosa contínua” contra empresas de água, energia, alimentos e agricultura entre 2022 e abril de 2024.

Além dos rigorosos requisitos de tempo de atividade, as organizações de TO que gerenciam infraestruturas críticas são conhecidas por confiar em dispositivos legados, pois substituir a tecnologia e manter as operações normais é desafiador e caro. Isso os torna acessíveis e propensos a pagar um resgate, pois o tempo de inatividade terá consequências graves.