Um grupo de hackers suspeito de estar ligado ao governo chinês conduziu um ataque cibernético contra uma grande organização americana em uma campanha que durou quatro meses, de abril a agosto de 2024, segundo relatório da Symantec, subsidiária da Broadcom.
Os primeiros sinais da atividade maliciosa foram detectados em 11 de abril de 2024, mas a Symantec não descarta a possibilidade de que a invasão tenha começado antes.
Durante o ataque, os invasores se movimentaram lateralmente pela rede, comprometendo múltiplos computadores, incluindo servidores Microsoft Exchange, sugerindo que o objetivo era coletar informações sensíveis, como e-mails.
Métodos e Ferramentas de Ataque
Os hackers utilizaram diversas técnicas e ferramentas avançadas, incluindo:
Side-loading de DLL: Método preferido por grupos de hackers chineses, usado para executar arquivos maliciosos.
Ferramentas de código aberto: Como FileZilla, Impacket e PSCP.
Programas LotL (Living-off-the-land): Incluindo Windows Management Instrumentation (WMI), PsExec e PowerShell.
Roubo de credenciais e execução de arquivos DLL maliciosos.
A Symantec identificou que o comando inicial utilizado pelos invasores foi executado via WMI a partir de outra máquina já comprometida na rede, sugerindo que pelo menos um dispositivo havia sido invadido antes de 11 de abril.
Objetivo e Impacto
O ataque visava principalmente os servidores Microsoft Exchange, indicando que os invasores buscavam coletar e possivelmente exfiltrar dados de e-mails da organização. Ferramentas como WinRAR foram baixadas para facilitar a extração de dados.
Embora a identidade da organização alvo não tenha sido revelada, sabe-se que ela possui uma presença significativa na China, o que pode ter sido um fator motivador para o ataque.
Ligação com Hackers Chineses
A Symantec associou o ataque a um grupo chamado Crimson Palace, conhecido por estar vinculado ao governo chinês. Além disso, a organização já havia sido atacada em 2023 por outro grupo de hackers chineses, identificado como Daggerfly (também conhecido como Bronze Highland, Evasive Panda ou StormBamboo).
Contexto Geopolítico e Estratégico
O relatório da Orange Cyberdefense destacou a relação entre hackers patrocinados pelo estado chinês e instituições acadêmicas ou empresas falsas. Essas entidades são usadas para adquirir infraestrutura digital sem levantar suspeitas, além de recrutarem profissionais para conduzir ataques sob a direção de órgãos como o Ministério da Segurança do Estado e o Exército de Libertação Popular da China.
Essas "empresas de fachada" não possuem atividades comerciais legítimas e servem como plataformas para conduzir operações cibernéticas sigilosas.
Via - THN
Comentários