Ataque ocorreu no dia 26/11/24
De acordo com a Trend Micro, o grupo hacker Salt Typhoon, supostamente associado ao governo chinês e também conhecido como Earth Estries, realizou ataques cibernéticos GhostSpider contra redes de telecomunicação, principalmente no sudeste asiático. Além da Ásia, dezenas de países foram afetados, incluindo regiões dos Estados Unidos, África do Sul e Brasil.
As autoridades de defesa classificam a situação como uma APT (Ameaça Persistente Avançada). Relatórios indicam que o grupo cibercriminoso comprometeu mais de 20 instituições, entre empresas de telecomunicações, tecnologia, consultoria, indústria química, transportes, agências governamentais e ONGs.
O governo dos EUA notificou mais de 150 vítimas dos ataques, a maioria na região de Washington D.C. A principal hipótese é que os grupos utilizaram backdoors do tipo GhostSpider, além dos kits Demodex e Dead RAT, também conhecido como SNAPPYBEE.
Grupo usa técnicas avançadas
Considerado um método de ataque sofisticado, o GhostSpider utiliza tecnologia multimodular para se comunicar com a infraestrutura hackeada por meio de um protocolo TLS (Transport Layer Security). Os sistemas raramente detectam esse ataque, pois os hackers conseguem contornar as proteções, fazendo o GhostSpider parecer um serviço legítimo.
O Salt Typhoon tem causado problemas para a segurança mundial, sendo responsável por falhas em servidores de telecomunicações de empresas como Verizon, AT&T, Lumen Technologies e T-Mobile. Há informações de que o grupo também acessou e obteve dados sigilosos do governo dos EUA.
“O Earth Estries realiza ataques furtivos que começam em dispositivos de ponta e se estendem a ambientes de nuvem, tornando a detecção desafiadora […] Eles empregam vários métodos para estabelecer redes operacionais que efetivamente ocultam suas atividades de espionagem cibernética, demonstrando um alto nível de sofisticação em sua abordagem para infiltrar e monitorar alvos sensíveis”, revela um representante da Trend Micro.