A futura guerra do Volt Typhoon

Existem muitos atores de ameaça perigosos por aí, mas o Volt Typhoon pode ser o mais perigoso para a nossa segurança física e bem-estar. Já sabemos que os ciberataques têm um impacto para além do domínio digital. Colonial Pipeline e JBS Foods sofreram ataques de ransomware que interromperam cadeias de abastecimento críticas nos Estados Unidos. Os atores de ameaça já interferiram com a economia e a infraestrutura crítica dos EUA. A maior parte deste cibercrime é motivada por ganhos financeiros. Lockbit e ALPHV afirmaram ser apolíticos e apenas interessados em dinheiro.

Outros atores de ameaça envolvem-se em ciberespionagem e guerra cibernética. A ciberespionagem tradicional refere-se a ataques que dão aos atores de ameaça uma vantagem competitiva sobre outra empresa ou entidade governamental. Um exemplo de ciberespionagem é a série de ataques a universidades que realizam atividades de investigação e desenvolvimento para aplicações militares. A espionagem geralmente envolve o trabalho de Ameaças Persistentes Avançadas (APTs) que permanecem no sistema e recolhem informações ou realizam atividades destrutivas durante o maior tempo possível. Em contraste, a guerra cibernética é provavelmente um ataque rápido destinado a interromper atividades e criar caos para fins estratégicos. O ataque russo de 2017 a alvos ucranianos ( WannaCry, NotPetya ) foi um ato de guerra cibernética.

Estamos todos familiarizados com ciberataques, ciberespionagem e ciberguerra. Então, qual é o grande problema com o Volt Typhoon?

O que é o Volt Typhoon?

O Volt Typhoon é também conhecido como Vanguard Panda, BRONZE SILHOUETTE, Dev-0391, UNC3236, Voltzite e Insidious Taurus. Este grupo é um ator APT patrocinado pela República Popular da China (PRC). O Volt Typhoon tem realizado atividades tradicionais de espionagem cibernética contra alvos nos EUA desde meados de 2021, no entanto. Desde então, as autoridades dos EUA descobriram que o Volt Typhoon tem “mantido acesso e pontos de apoio dentro de alguns ambientes de TI das vítimas por pelo menos cinco anos.” Estas organizações vítimas operam principalmente nos setores de comunicações, energia, transporte e água/águas residuais nos Estados Unidos. Alvejar setores críticos não é algo novo, mas os alvos do Volt Typhoon sugerem um tipo diferente de ataque. De Reuters:

Isto leva-nos ao Aviso de Cibersegurança publicado em fevereiro, alertando as entidades dos EUA e o público sobre algo chamado 'pre-positioning'.

Espionagem cibernética tradicional vs. pré-posicionamento.

Os ataques de pré-posicionamento são tentativas de infiltrar sistemas críticos para potencial sabotagem futura. Isto difere da espionagem cibernética tradicional, que é motivada pelo roubo imediato de dados ou pela recolha de inteligência. Quando a Volt Typhoon compromete um sistema, um atacante humano começa a atividade prática e utiliza técnicas de living-off-the-land para se mover lateralmente através da rede, evitar a deteção e estabelecer uma ameaça oculta e dormente a longo prazo. O grupo raramente utiliza malware nos seus ataques. A atividade prática e a ausência de malware demonstram um elevado nível de envolvimento e sofisticação por parte da Volt Typhoon.

O pré-posicionamento representa uma mudança estratégica por parte de um ator de ameaça da RPC para se preparar para futuras tensões ou conflitos militares. Embora os funcionários dos EUA agora tenham evidências de atividades de pré-posicionamento a longo prazo, esta pesquisa do Center for Strategic and International Studies (CSIS) sobre espionagem chinesa não menciona o pré-posicionamento em nenhum ataque. A pesquisa do CSIS estudou ataques a entidades dos EUA durante os anos 2000–2023. Esta é uma divisão demográfica parcial desses dados:

• 49% dos incidentes envolveram diretamente militares ou funcionários do governo chinês.
• 46% dos incidentes envolveram espionagem cibernética, geralmente por atores afiliados a Estados.
• 29% dos incidentes procuraram adquirir tecnologia militar.
• 54% dos incidentes procuraram adquirir tecnologias comerciais.
• 17% dos incidentes procuraram adquirir informações sobre agências civis dos EUA ou políticos.

Esta pesquisa analisou apenas ataques conhecidos pelo público. Ataques não relatados e informações classificadas estão excluídos.

A capacidade de atores patrocinados pelo estado de se infiltrarem em sistemas essenciais representa uma ameaça física direta para as pessoas dos Estados Unidos e de outros países-alvo. Uma interrupção nos sistemas críticos nos EUA poderia forçar uma resposta federal que consome uma parte significativa dos recursos dos EUA. Isso poderia então reduzir a capacidade dos EUA de ajudar aliados estrangeiros. Em junho de 2022, a RPC negou qualquer envolvimento em espionagem cibernética:

Um porta-voz da embaixada chinesa em Washington, Liu Pengyu, rejeitou as alegações dos líderes ocidentais, afirmando numa declaração enviada por e-mail à Associated Press que a China “se opõe firmemente e combate todas as formas de ciberataques”, classificando as acusações de infundadas.

"A declaração afirmou: 'Nunca incentivaremos, apoiaremos ou toleraremos ataques cibernéticos.'"

Os EUA não são o único alvo da Volt Typhoon e de outros agentes de ameaça da RPC. A Volt Typhoon atacou infraestruturas críticas e setores económicos na Austrália, Canadá e Reino Unido. Também conduziu ataques de reconhecimento extensivos em organizações de transmissão e distribuição elétrica em países africanos. O objetivo destes ataques em África é desconhecido, embora especialistas especulem que os agentes de ameaça estavam à procura de dados de sistemas de informação geográfica (GIS), que ajudariam a Volt Typhoon a infiltrar-se em clusters de Sistemas de Controlo Industrial (ICS) e outros dispositivos da Internet das Coisas (IoT). Pode também haver uma ligação à Iniciativa Digital da Rota da Seda da China, que visa oferecer assistência em infraestruturas e outras ajudas a nações beneficiárias. A República Popular da China tem interesses estratégicos em todo o mundo.

A China nega rotineiramente qualquer envolvimento em hacking patrocinado pelo estado e prometeu aos EUA que não interferiria nas eleições de 2024. Apesar destas negações, agências de aplicação da lei em todo o mundo compilaram décadas de evidências de espionagem cibernética patrocinada pela RPC. O Diretor do Federal Bureau of Investigation (FBI), Christopher Wray, acredita que “os ciberoperativos da China superam todos os agentes do FBI pelo menos 50 para 1.”

KV Botnet

Volt Typhoon utiliza a KV Botnet, uma rede encoberta, para ocultar tráfego malicioso ao misturá-lo com o tráfego regular da internet. A botnet utiliza routers e dispositivos VPN que estão 'fora de serviço' e já não recebem atualizações de segurança do fabricante. O Departamento de Justiça dos EUA (DoJ) recentemente anunciou uma interrupção bem-sucedida da botnet, embora Volt Typhoon esteja a tentar uma reconstrução.

Volt Typhoon direciona o seu tráfego através de dois clusters de Botnet KV separados, conhecidos como KV e JDY. Esta tabela descreve os propósitos destes clusters e as principais diferenças entre eles.

A análise técnica do KV Botnet está aqui.

Conclusão

Volt Typhoon é um ator de ameaça sofisticado e patrocinado por um estado que encontrará uma maneira de explorar qualquer abertura em qualquer sistema. Eles têm as habilidades e recursos para atacar qualquer fraqueza que encontrem. Uma boa defesa contra eles é garantir que não encontrem nenhuma fraqueza. A Diretora da Agência de Cibersegurança e Segurança de Infraestruturas dos EUA (CISA), Jen Easterly afirmou recentemente que os EUA facilitaram o ataque dos atores de ameaça da RPC. “A verdade é que, em muitos casos, a RPC está a aproveitar-se de defeitos de produtos conhecidos.” O Botnet KV é o exemplo perfeito de como os atores de ameaça tiram proveito de riscos de segurança negligenciados.

Proteger os seus sistemas de atores de ameaças sofisticados como o Volt Typhoon requer uma abordagem em várias camadas para cibersegurança que defenda todo o sistema, incluindo trabalhadores remotos e dispositivos de extremidade.

1. Controlo de Acesso Forte e Medidas de Autenticação – Implemente políticas que exijam autenticação multi-fator (MFA) e boas práticas de segurança de senhas. Utilize o princípio do menor privilégio para garantir que os utilizadores tenham apenas os direitos de acesso necessários para realizar o seu trabalho.  

2. Atualizações regulares de software e sistemas – Atualize regularmente todo o software, sistemas operativos e firmware, utilizando ferramentas de gestão de patches automatizadas sempre que possível. Realize scans regulares para identificar quaisquer vulnerabilidades no ambiente.

3. Medidas de Segurança Avançadas – Implementar soluções de cibersegurança que protejam o seu email, rede, aplicações e dados. Barracuda Email Protection e Barracuda SecureEdge defendem os seus sistemas, fazem backup dos dados do Microsoft 365 e oferecem formação de sensibilização sobre segurança para ajudar os colaboradores a identificar ataques de phishing e outros esquemas fraudulentos.  

Monitorização contínua, atualizações regulares dos seus protocolos de segurança e manter-se informado sobre as últimas ameaças são cruciais para manter uma segurança robusta.

Plataforma de cibersegurança Barracuda

Apenas a Barracuda oferece proteção multifacetada que cobre todos os principais vetores de ameaça, protege os seus dados e automatiza a resposta a incidentes. Mais de 200.000 clientes em todo o mundo confiam na Barracuda para proteger os seus e-mails, redes, aplicações e dados.