O Centro Nacional de Resposta a Emergências contra Vírus de Computador da China (CVERC) dobrou as alegações de que o ator de ameaça conhecido como o tufão Volt é uma invenção dos EUA e dos seus aliados.
A agência, em colaboração com o Laboratório Nacional de Engenharia para Tecnologia de Prevenção de Vírus de Computador, acusou o governo federal dos EUA, agências de inteligência e países do 5 Eyes de conduzir atividades de espionagem cibernética contra China, França, Alemanha, Japão e usuários da Web em todo o mundo. .
Ele também disse que há “evidências irrefutáveis” indicando que os EUA realizam operações de bandeira falsa na tentativa de esconder seus próprios ataques cibernéticos maliciosos, acrescentando que estão inventando o “chamado perigo dos ataques cibernéticos chineses” e que estabeleceram um “grande rede international de vigilância da Web em grande escala.”
“E o facto de os EUA terem adoptado ataques à cadeia de abastecimento, implantado backdoors em produtos da Web e ‘pré-posicionados’ desmascarou completamente o Tufão Volt – uma farsa política escrita, dirigida e executada pelo governo federal dos EUA”, afirmou.
“A base militar dos EUA em Guam não foi vítima dos ataques cibernéticos do Volt Storm, mas sim o iniciador de um grande número de ataques cibernéticos contra a China e muitos países do Sudeste Asiático e o centro de backhaul de dados roubados.”
Vale a pena notar que um relatório anterior publicado pela CVERC em Julho caracterizou o Volt Storm como uma campanha de desinformação orquestrada pelas agências de inteligência dos EUA.
Volt Storm é o apelido atribuído a um grupo de espionagem cibernética do nexo da China que se acredita estar ativo desde 2019, incorporando-se furtivamente em redes de infraestrutura crítica, roteando o tráfego através de dispositivos de borda que comprometem roteadores, firewalls e {hardware} VPN em um esforço para se misturar e voar sob o radar.
Recentemente, no ultimate de agosto de 2024, foi vinculado à exploração de dia zero de uma falha de segurança de alta gravidade que afetou o Versa Director (CVE-2024-39717, pontuação CVSS: 6,6) para fornecer um internet shell chamado VersaMem para facilitar o roubo de credenciais e execute código arbitrário.
A utilização de dispositivos periféricos por conjuntos de intrusão ligados à China tornou-se uma espécie de padrão nos últimos anos, com algumas campanhas a utilizá-los como Caixas de Retransmissão Operacionais (ORBs) para evitar a detecção.
Isso é comprovado por um relatório recente publicado pela empresa francesa de segurança cibernética Sekoia, que atribuiu agentes de ameaças provavelmente de origem chinesa a uma campanha de ataque de amplo alcance que infecta dispositivos de ponta, como roteadores e câmeras, para implantar backdoors como GobRAT e Bulbature para ataques subsequentes. contra alvos de interesse.
“Bulbature, um implante que ainda não foi documentado em código aberto, parece ser usado apenas para transformar o dispositivo de borda comprometido em um ORB para retransmitir ataques contra redes de vítimas finais”, disseram os pesquisadores.
“Essa arquitetura, que consiste em dispositivos de borda comprometidos que atuam como ORBs, permite que um operador notice operações cibernéticas ofensivas em todo o mundo, perto dos alvos finais, e oculte sua localização criando túneis proxies sob demanda”.
No último documento de 59 páginas, as autoridades chinesas afirmaram que mais de 50 especialistas em segurança dos EUA, Europa e Ásia contactaram o CVERC, expressando preocupações relacionadas com a “falsa narrativa dos EUA” sobre o tufão Volt e a falta de provas que liguem o ator de ameaça à China.
O CVERC, no entanto, não nomeou esses especialistas, nem as suas razões para apoiar a hipótese. Afirmou ainda que as agências de inteligência dos EUA criaram um equipment de ferramentas furtivo denominado Marble, o mais tardar em 2015, com a intenção de confundir os esforços de atribuição.
“O equipment de ferramentas é uma estrutura de ferramentas que pode ser integrada com outros projetos de desenvolvimento de armas cibernéticas para ajudar os desenvolvedores de armas cibernéticas a ofuscar vários recursos identificáveis no código do programa, ‘apagando’ efetivamente as ‘impressões digitais’ dos desenvolvedores de armas cibernéticas”, afirmou.
“Além do mais, a estrutura tem uma função mais ‘vergonhosa’ para inserir strings em outros idiomas, como chinês, russo, coreano, persa e árabe, o que obviamente tem a intenção de enganar os investigadores e enquadrar China, Rússia, Coreia do Norte, Irã. e países árabes.”
O relatório aproveita ainda a oportunidade para acusar os EUA de confiarem nas suas “vantagens tecnológicas inatas e geológicas na construção da Web” para controlar cabos de fibra óptica através do Atlântico e do Pacífico e de os utilizar para “monitorização indiscriminada” dos utilizadores da Web. mundialmente.
Também alegou que empresas como Microsoft e CrowdStrike recorreram a nomes “absurdos” com “conotações geopolíticas óbvias” para grupos de atividades ameaçadoras com nomes como “tufão”, “panda” e “dragão”.
“Mais uma vez, gostaríamos de apelar a uma ampla colaboração internacional neste domínio”, concluiu. “Além disso, as empresas de segurança cibernética e as instituições de pesquisa devem se concentrar na pesquisa de tecnologias contra ameaças cibernéticas e em melhores produtos e serviços para os usuários”.