Uma coligação de agências de segurança dos Estados Unidos, Reino Unido e mais de uma dezena de outros países identificou três empresas de tecnologia sediadas na China como facilitadoras das campanhas globais de hacking do grupo Salt Typhoon. De acordo com os comunicados conjuntos da NSA (Agência de Segurança Nacional dos EUA) e do NCSC (Centro Nacional de Cibersegurança do Reino Unido), estas empresas terão fornecido produtos e serviços ao Ministério da Segurança do Estado chinês, permitindo operações de ciberespionagem em larga escala.
As empresas visadas são a Sichuan Juxinhe Network Technology Co. Ltd., a Beijing Huanyu Tianqiong Information Technology Co. e a Sichuan Zhixin Ruijie Network Technology Co. Ltd. Pelo menos desde 2021, os atacantes associados ao Salt Typhoon têm comprometido redes governamentais, de telecomunicações, transportes, hotelaria e militares a nível mundial, com o objetivo de roubar dados que permitam rastrear as comunicações e movimentos dos seus alvos.
Nos últimos anos, o grupo tem intensificado os seus ataques contra empresas de telecomunicações para espiar as comunicações privadas de indivíduos em todo o mundo.
O "como" é mais simples do que parece
Curiosamente, o comunicado das treze nações alerta que os hackers têm tido um sucesso considerável ao explorar falhas de segurança conhecidas e já corrigidas em dispositivos de rede, em vez de recorrerem a vulnerabilidades "zero-day" (desconhecidas). Esta tática sublinha a importância crítica de manter os sistemas permanentemente atualizados.
A lista de vulnerabilidades exploradas inclui falhas bem conhecidas em equipamentos da Ivanti, Palo Alto e Cisco, como as CVE-2024-21887, CVE-2024-3400, CVE-2023-20273, CVE-2023-20198 e CVE-2018-0171.
As táticas de persistência e roubo de dados
Ao explorar estas falhas, os atacantes conseguem aceder a routers e outros dispositivos de rede, o que lhes permite modificar listas de controlo de acesso, ativar o protocolo SSH em portas não convencionais e criar túneis de comunicação para manter o acesso persistente às redes comprometidas. As agências de segurança alertam que os hackers podem visar qualquer dispositivo na periferia de uma rede, utilizando-o como uma porta de entrada para atacar outras redes com as quais tenha uma ligação de confiança.
Para além disso, o grupo Salt Typhoon foi observado a capturar pacotes de tráfego de autenticação e a utilizar ferramentas personalizadas desenvolvidas em Golang, como "cmd1", "cmd3", "new2" e "sft", para monitorizar o tráfego e exfiltrar dados.
Recomendações urgentes para as organizações
Dado que muitas das vulnerabilidades exploradas já têm correções disponíveis há algum tempo, as agências de segurança instam as organizações a priorizarem a aplicação de patches nos seus dispositivos. As recomendações incluem também o reforço das configurações dos equipamentos, a monitorização de alterações não autorizadas e a desativação de serviços que não sejam essenciais.
É igualmente aconselhado que os administradores de sistemas restrinjam os serviços de gestão a redes dedicadas, apliquem protocolos seguros como SSHv2 e SNMPv3, e desativem funcionalidades como o Cisco Smart Install e o Guest Shell sempre que não forem necessários.
Um historial de ataques a infraestruturas críticas
As atividades do grupo Salt Typhoon não são uma novidade. Estes novos avisos surgem após anos de ataques direcionados a fornecedores de telecomunicações e entidades governamentais. O grupo foi anteriormente responsável por comprometer grandes operadoras norte-americanas, obtendo acesso a comunicações sensíveis como mensagens de texto, voicemail e até sistemas de escuta das forças de segurança.
Os atacantes também exploraram vulnerabilidades em sistemas Cisco IOS XE para se infiltrarem noutras empresas de telecomunicações nos EUA e no Canadá, onde estabeleceram túneis de acesso persistente e roubaram dados de configuração utilizando um malware personalizado conhecido como JumbledPath. Em 2024, o grupo foi ainda associado a uma intrusão de nove meses na rede da Guarda Nacional do Exército dos EUA, durante a qual roubaram ficheiros de configuração e credenciais de administrador.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech