Os EUA alertam para um cenário de ciberameaças "permanentemente alterado"

Atividade recentemente exposta pelo grupo de hackers apoiado pela China, Volt Typhoon, levou as autoridades dos EUA a emitirem avisos de que o panorama das ciberameaças foi alterado permanentemente. Em particular, a atividade sinaliza uma mudança fundamental nos objetivos e técnicas das operações cibernéticas patrocinadas pelo estado.

Uma forma inovadora de ciberameaça

Durante muitos anos, os principais objetivos das atividades de hacking patrocinadas pelo estado limitavam-se, na maioria das vezes, à espionagem estratégica e industrial. Ou seja, quer os atores da ameaça fossem entidades governamentais oficiais ou gangues independentes patrocinadas por governos nacionais, os seus esforços eram principalmente direcionados para infiltrar sistemas com o objetivo de roubar dados valiosos.

Em alguns casos, tratava-se de sistemas governamentais que abrigavam planeamento estratégico e outros dados secretos, e noutros, o objetivo era encontrar e exfiltrar segredos comerciais corporativos para obter vantagens económicas competitivas. Apenas muito raramente, como no incidente de 2014 na Sony Pictures, alegadamente realizado por atores de ameaça norte-coreanos, o objetivo principal parecia ser a sabotagem direta; e mesmo assim, não foi direcionado a qualquer forma de infraestrutura crítica.

A guerra cibernética também tem sido um uso comum da tecnologia em conflitos, como o ataque russo de 2017 a alvos ucranianos (WannaCry, NotPetya). Mas, nestes casos, o objetivo tem sido principalmente tático: uma interrupção imediata das capacidades de combate do inimigo.

Mas como explicou a minha colega Christine Barry num artigo recente, a atividade do Volt Typhoon é fundamentalmente diferente. Conforme detalhado num aviso de cibersegurança de fevereiro de 2024 emitido pela Agência de Segurança de Cibersegurança e Infraestrutura dos EUA (CISA), esta atividade envolveu a penetração e manutenção de acesso a sistemas de infraestrutura crítica que não têm valor de espionagem—mas que, em caso de um conflito agravado, poderiam ter um valor estratégico tremendo.

Pré-posicionamento de ativos

O objetivo desta atividade não é difícil de entender. No caso de tensões aumentadas ou mesmo uma crise que leve a um conflito armado com os Estados Unidos, a República Popular da China pretende ter capacidades já estabelecidas para perturbar as capacidades dos EUA, sabotando infraestruturas críticas e capacidades industriais, semeando o caos e o pânico, e, de um modo geral, desorganizando tudo. Não há dúvida de que tais atividades podem ter consequências gravemente perigosas para comunidades e indivíduos em todo o país.

É muito claro que as tentativas chinesas de comprometer infraestruturas críticas têm como objetivo, em parte, posicionar-se antecipadamente para poderem interromper ou destruir essa infraestrutura crítica em caso de conflito, para evitar que os Estados Unidos possam projetar poder na Ásia ou para causar caos social dentro dos Estados Unidos — afetando a nossa capacidade de decisão durante uma crise,” disse Brandon Wales, diretor-executivo da Agência de Segurança Cibernética e de Infraestruturas (CISA) do Departamento de Segurança Interna. “Isso representa uma mudança significativa nas atividades cibernéticas chinesas de há sete a dez anos, que estavam focadas principalmente em espionagem política e económica.” — The Washington Post

Uma nova postura para o futuro

Embora o DOJ esteja confiante de que as intrusões recentemente descobertas foram resolvidas com sucesso, a comunicação clara da CISA e de outros é que isto representa uma nova normalidade para o panorama da cibersegurança—e uma preocupação contínua para as agências de ciberdefesa dos EUA, cuja postura terá de ser ajustada em conformidade.

Uma vez que o Volt Typhoon—e, presumivelmente, futuras campanhas—emprega uma variedade de técnicas de living-off-the-land (LotL) para minimizar indicadores tradicionais de compromisso (IoC), a orientação recentemente emitida pela CISA sobre formas de detetar tais técnicas está a ser cada vez mais promovida tanto para organizações governamentais como para infraestruturas críticas privadas.

O relatório recente da CISA também inclui uma lista de ações que todos podem tomar imediatamente para mitigar o risco da atividade do Volt Typhoon:

1. Aplicar patches para sistemas voltados para a internet. Priorizar a correção de vulnerabilidades críticas em appliances conhecidos por serem frequentemente explorados pelo Volt Typhoon. Isto inclui routers, VPNs e firewalls com vulnerabilidades conhecidas ou zero-day.

2. Implementar MFA resistente a phishing. O uso de autenticação multifator para todos os sistemas críticos, ou melhor ainda, a implementação de uma arquitetura de zero-trust, pode reduzir drasticamente o risco de intrusões que utilizam credenciais roubadas.

3. Certifique-se de que o registo está ativado para logs de aplicação, acesso e segurança e armazene os logs num sistema central. À primeira indicação de uma intrusão, ter um repositório centralizado de logs de eventos é fundamental para determinar o alcance e os detalhes do problema.

4. Planeie o “fim de vida” para tecnologia além do ciclo de vida suportado pelo fabricante. Os dispositivos de borda e hardware frequentemente mantêm a funcionalidade operacional em sistemas baseados nos EUA após terem atingido o fim de vida e já não serem suportados com patches para corrigir vulnerabilidades recém-descobertas. O Volt Typhoon (e muitos outros atores de ameaças) rotineiramente examinam os sistemas das potenciais vítimas em busca de tais dispositivos.

Otimismo cauteloso

Embora esta alteração no ambiente estratégico de cibersegurança seja claramente motivo de séria preocupação, os líderes de cibersegurança do governo dos EUA na recente conferência RSA e em entrevistas com The Record ofereceram algumas razões para ser otimista de que estamos a virar a esquina em termos de adotar uma nova e mais eficaz postura de segurança em resposta às novas ameaças: 

Eu sugeriria que o adversário não tem 3 metros de altura e, coletivamente, não estamos no canto em posição fetal com um ábaco", disse o Major-General da Marinha Loran Mahlock, chefe da Força de Missão Nacional de Cibersegurança do Comando Cibernético dos EUA, durante uma discussão em painel esta semana.

"Temos os nossos parceiros de indústria que estão a pensar de forma deliberada e realmente criativa sobre as ameaças que existem. E acho que essa é realmente a nossa vantagem assimétrica e o nosso superpoder."

[Eric Goldstein, diretor assistente executivo para a cibersegurança] da CISA disse que, por mais que as autoridades tenham soado o alarme sobre o Volt Typhoon, o governo também pretende anunciar os seus sucessos contra o grupo ligado à China. "Acho que falaremos publicamente sobre o progresso que estamos a ver no reforço e na resiliência das infraestruturas críticas, à medida que o constatamos", afirmou. — The Record, 9 de maio de 2024