A Agência de Segurança Nacional dos Estados Unidos é frequentemente calada sobre o seu trabalho e inteligência. Mas na conferência de segurança Cyberwarcon em Washington DC, na quinta-feira, dois membros do Centro de Colaboração em Segurança Cibernética da agência fizeram um “apelo à acção” para a comunidade de segurança cibernética: Cuidado com a ameaça de hackers apoiados pelo governo chinês que se incorporam na infra-estrutura crítica dos EUA.
Juntamente com os seus homólogos da aliança de inteligência “Cinco Olhos”, a NSA tem alertado desde Maio que um grupo patrocinado por Pequim conhecido como Volt Typhoon tem como alvo redes de infra-estruturas críticas, incluindo redes eléctricas, como parte da sua actividade.
As autoridades enfatizaram na quinta-feira que os administradores de rede e as equipes de segurança precisam estar atentos a atividades suspeitas nas quais os hackers manipulam e utilizam indevidamente ferramentas legítimas em vez de malware – uma abordagem conhecida como “viver da terra” – para realizar operações clandestinas. Eles acrescentaram que o governo chinês também desenvolve novas técnicas de intrusão e malware, graças a um estoque substancial de vulnerabilidades de dia zero que os hackers podem transformar em armas e explorar. Pequim coleta esses bugs por meio de sua própria pesquisa, bem como de uma lei que exige a divulgação de vulnerabilidades.
A República Popular da China “trabalha para obter acesso não autorizado aos sistemas e esperar o melhor momento para explorar essas redes”, disse Morgan Adamski, diretor do Centro de Colaboração em Segurança Cibernética da NSA, na quinta-feira. “A ameaça é extremamente sofisticada e generalizada. Não é fácil de encontrar. É um pré-posicionamento com a intenção de penetrar silenciosamente em redes críticas a longo prazo. O facto de estes intervenientes estarem em infraestruturas críticas é inaceitável e é algo que levamos muito a sério – algo que nos preocupa.”
Mark Parsons e Judy Ng da Microsoft deram uma atualização sobre a atividade do Volt Typhoon no final do dia na Cyberwarcon. Eles observaram que, depois de aparentemente ficar inativo na primavera e na maior parte do verão, o grupo reapareceu em agosto com maior segurança operacional para tornar a sua atividade mais difícil de rastrear. O Volt Typhoon continuou a atacar universidades e programas do Corpo de Treinamento de Oficiais da Reserva do Exército dos EUA – um tipo de vítima que o grupo particularmente favorece – mas também foi observado que visava outras empresas de serviços públicos dos EUA.
“Achamos que o Volt Typhoon está fazendo isso para atividades relacionadas à espionagem, mas, além disso, achamos que há um elemento que eles poderiam usar para destruição ou interrupção em momentos de necessidade”, disse Ng da Microsoft na quinta-feira.
Adamski, da NSA, e Josh Zaritsky, diretor de operações do Centro de Colaboração de Segurança Cibernética, instaram os defensores da rede a gerenciar e auditar os registros de seus sistemas em busca de atividades anômalas e a armazenar registros de forma que não possam ser excluídos por um invasor que obtenha acesso ao sistema e esteja procurando para esconder seus rastros.
Os dois também enfatizaram as melhores práticas, como autenticação de dois fatores e limitação dos privilégios de sistema de usuários e administradores para minimizar a possibilidade de invasores comprometerem e explorarem contas em primeiro lugar. E eles enfatizaram que não só é necessário corrigir vulnerabilidades de software, mas também é crucial voltar e verificar logs e registros para ter certeza de que não há sinais de que o bug foi explorado antes de ser corrigido.
“Vamos precisar de provedores de serviços de Internet, provedores de nuvem, empresas de endpoint, empresas de segurança cibernética, fabricantes de dispositivos, todos juntos nesta luta. E esta é uma luta pela nossa infraestrutura crítica dos EUA”, disse Adamski. “Os produtos, os serviços em que confiamos, tudo o que importa – é por isso que isto é importante.”
