O Departamento do Tesouro dos EUA, por meio do Escritório de Controle de Ativos Estrangeiros (OFAC), impôs sanções contra uma empresa chinesa de cibersegurança e um ator cibernético sediado em Xangai por suas supostas conexões com o grupo Salt Typhoon e o recente comprometimento de uma agência federal.
“Os atores cibernéticos maliciosos ligados à República Popular da China (RPC) continuam a visar os sistemas do governo dos EUA, incluindo o recente direcionamento dos sistemas de tecnologia da informação (TI) do Tesouro, bem como infraestruturas críticas sensíveis dos EUA”, disse o Tesouro em comunicado à imprensa.
As sanções visam Yin Kecheng, que é avaliado como sendo um ator cibernético há mais de uma década e afiliado ao Ministério de Segurança do Estado da China (MSS). Kecheng, de acordo com o Tesouro, estava associado ao acesso indevido à sua própria rede que veio à tona no início deste mês.
O incidente envolveu um hack nos sistemas da BeyondTrust que permitiu que os atores de ameaças se infiltrassem em algumas instâncias do Remote Support SaaS da empresa, fazendo uso de uma chave de API comprometida do Remote Support SaaS. A atividade foi atribuída a um grupo de estado-nação chamado Silk Typhoon, que estava ligado à exploração, na época, de múltiplas falhas de segurança (conhecidas como ProxyLogon) no Microsoft Exchange Server no início de 2021.
De acordo com um relatório recente da Bloomberg, os invasores teriam acessado no mínimo 400 computadores pertencentes ao Tesouro e roubado mais de 3.000 arquivos, incluindo documentos de políticas e viagens, organogramas, material sobre sanções e investimentos estrangeiros, e dados sensíveis de aplicação da lei.
Eles também acessaram computadores usados pela Secretária do Tesouro, Janet Yellen, o Secretário Adjunto Adewale Adeyemo e o Subsecretário Interino Bradley T. Smith, bem como material sobre investigações conduzidas pelo Comitê de Investimento Estrangeiro nos EUA, acrescentou o relatório.
Acredita-se que Silk Typhoon se sobrepõe a um grupo rastreado pela Mandiant, de propriedade do Google, sob o codinome UNC5221, um ator de espionagem com nexo chinês conhecido por sua extensa utilização de vulnerabilidades zero-day da Ivanti. O The Hacker News entrou em contato com a Mandiant para obter mais comentários e nós atualizaremos a história se ouvirmos de volta.
As sanções também visam a Sichuan Juxinhe Network Technology Co., LTD., uma empresa de cibersegurança com sede em Sichuan que o Tesouro disse estar diretamente envolvida em uma série de ataques cibernéticos direcionados a importantes empresas de telecomunicações e provedores de internet dos EUA no país.
A atividade está associada a um grupo de hackers chinês diferente chamado Salt Typhoon (também conhecido como Earth Estries, FamousSparrow, GhostEmperor e UNC2286). O ator de ameaças está estimado a estar ativo desde pelo menos 2019.
“O MSS mantém fortes laços com múltiplas empresas de exploração de redes de computadores, incluindo a Sichuan Juxinhe”, disse o Tesouro.
Separadamente, o programa Recompensas pela Justiça do Departamento de Estado está oferecendo uma recompensa de até US$10 milhões por informações que possam levar à identificação ou localização de indivíduos agindo sob a direção ou controle de um adversário patrocinado por um estado estrangeiro e envolvidos em atividades cibernéticas maliciosas contra infraestruturas críticas dos EUA em violação da Lei de Fraude e Abuso de Computadores.
“O Departamento do Tesouro continuará a usar suas autoridades para responsabilizar os atores cibernéticos maliciosos que visam o povo americano, nossas empresas e o governo dos Estados Unidos, incluindo aqueles que visam especificamente o Departamento do Tesouro”, disse Adeyemo em comunicado.
Os ataques a provedores de serviços de telecomunicações dos EUA levaram a Comissão Federal de Comunicações (FCC) a emitir novas regras exigindo que as empresas que atuam no setor protejam suas redes contra acesso ilegal ou interceptação de comunicações. A presidente da FCC, Jessica Rosenworcel, descreveu os hacks como “um dos maiores comprometimentos de inteligência já vistos”.
“Essa ação é acompanhada de uma proposta para que os prestadores de serviços de comunicações enviem uma certificação anual à FCC atestando que eles criaram, atualizaram e implementaram um plano de gerenciamento de risco cibernético, o que fortaleceria as comunicações contra futuros ataques cibernéticos”, disse a FCC.
No início desta semana, Jen Easterly, diretora da Agência de Segurança Cibernética e de Infraestrutura (CISA), disse que “o sofisticado programa cibernético bem financiado da China representa a ameaça cibernética mais séria e significativa para a nossa nação, e em particular, para a infraestrutura crítica dos EUA”.
Easterly também revelou que o Salt Typhoon foi detectado primeiro nas redes federais, muito antes do grupo de espionagem cibernética se infiltrar nas redes da AT&T, Lumen Technologies, T-Mobile, Verizon, e de outros provedores.
As designações são as mais recentes em uma longa lista de medidas tomadas pelo Tesouro na tentativa de combater atividades cibernéticas maliciosas de atores de ameaças chineses. Empresas anteriormente sancionadas pela agência incluem Integrity Technology Group (Flax Typhoon), Sichuan Silence Information Technology (Pacific Rim) e Wuhan Xiaoruizhi Science and Technology Company (APT31).