Nos últimos meses, a crescente preocupação com os riscos de cibersegurança enfrentados pelos Estados Unidos tem se concentrado nas capacidades de sabotagem potencialmente derivadas de hackers associados ao governo da China. Autoridades norte-americanas descreveram essas atividades como uma “ameaça que define a época”, ressaltando a gravidade e a urgência da situação. Diversos especialistas em inteligência afirmam que hackers apoiados pelo governo chinês têm se infiltrado nas redes de infraestrutura crítica dos EUA, abrangendo setores como água, energia e transporte. O objetivo subjacente dessas ações seria preparar o terreno para ciberataques destrutivos em um eventual conflito entre as duas potências, especialmente considerando as tensões relacionadas a uma possível invasão de Taiwan por parte da China.
O diretor do FBI, Christopher Wray, em declarações públicas feitas no início do ano, enfatizou que “os hackers da China estão se posicionando na infraestrutura americana para causar estragos e provocar danos reais aos cidadãos e comunidades dos EUA, caso a China decida que é o momento de atacar”. Em resposta a essa crescente ameaça, o governo dos Estados Unidos e seus aliados têm tomado medidas contra o que é conhecido como a família de grupos de hackers “Typhoon”, tendo publicamente revelado detalhes sobre os riscos que esses grupos representam. No início do ano, as autoridades norte-americanas interromperam uma operação denominada “Volt Typhoon”, atribuída a uma facção de hackers sustentados pelo governo da China que tinha a missão de preparar o ambiente para futuros ataques cibernéticos destrutivos. Em setembro, as investigações resultaram na intervenção em um botnet operado por outro grupo de hackers conhecido como “Flax Typhoon”, que se disfarçava como uma empresa privada em Pequim, ajudando a encobrir as atividades dos hackers patrocinados pela China. Desde então, surgiu um novo grupo de hackers apoiado pela China, intitulado “Salt Typhoon”, capaz de coletar informações sobre cidadãos americanos e potenciais alvos da vigilância dos EUA, ao comprometer sistemas de escuta das operadoras de telefonia e internet.
detalhes críticos sobre os grupos de hackers apoiados pela china
O “Volt Typhoon” representa uma nova geração de grupos de hackers falidos pelo governo chinês, que não se atêm apenas ao roubo de segredos sensíveis dos EUA, mas se dedicam a desestabilizar a capacidade militar norte-americana de mobilização. A Microsoft identificou esses hackers pela primeira vez em maio de 2023, constatando que desde meados de 2021, eles haviam direcionado ataques e comprometido equipamentos de rede, como roteadores, firewalls e VPNs, como parte de um esforço contínuo e coordenado para penetrar mais profundamente nas infraestruturas críticas dos EUA. É possível que esses hackers já estivessem operando há um tempo considerável, possivelmente até cinco anos. Nos meses que se seguiram ao relatório da Microsoft, o Volt Typhoon comprometeu milhares de dispositivos conectados à internet, explorando vulnerabilidades em dispositivos considerados “fora de uso”, que não receberiam mais atualizações de segurança. Assim, o grupo de hackers conseguiu comprometer os ambientes de TI de vários setores de infraestrutura crítica, incluindo aviação, água, energia e transporte, posicionando-se para ativar futuros ataques cibernéticos disruptivos.
O governo dos EUA anunciou no início do ano que havia interrompido com sucesso um botnet utilizado pelo Volt Typhoon, consistindo em milhares de roteadores de pequenas redes de escritórios e residências nos EUA que o grupo de hackers usava para ocultar suas atividades maliciosas direcionadas à infraestrutura crítica do país. O FBI informou que conseguiu remover o malware dos roteadores sequestrados, desconectando a rede de hackers da China que operava por meio do botnet.
os impactos das operações do grupo flax typhoon
Outro grupo de hackers apoiados pela China, denominado “Flax Typhoon”, também tem gerado preocupação nas agências de segurança dos EUA. Descoberto em um relatório da Microsoft em agosto de 2023, esse grupo atua disfarçado como uma empresa de cibersegurança de capital aberto baseada em Pequim, a Integrity Technology Group, que já reconheceu suas conexões com o governo chinês. Em setembro, o governo dos EUA anunciou que havia tomado controle de um botnet utilizado pelo Flax Typhoon, que utilizava uma variante personalizada do famoso malware Mirai, composta por centenas de milhares de dispositivos conectados à internet. As autoridades mencionaram que o botnet controlado pelo Flax Typhoon estava sendo usado para “realizar atividades cibernéticas maliciosas disfarçadas como tráfego rotineiro da internet proveniente de dispositivos infectados”, permitindo que outros hackers apoiados pelo governo da China invadissem redes nos EUA e ao redor do mundo para roubar informações e colocar a infraestrutura em risco. De acordo com o perfil da Microsoft do grupo de hackers, o Flax Typhoon opera desde meados de 2021, tendo como alvos predominantes agências governamentais, educação, manufatura crítica e organizações de tecnologia da informação em Taiwan. A documentação corroborada pelo Departamento de Justiça também revelou que o Flax Typhoon havia atacado várias corporações dos EUA e de outros países.
salt typhoon e as novas ameaças emergentes
A mais recente adição ao arsenal de hackers apoiados pelo governo chinês é o “Salt Typhoon”, que ganhou destaque em outubro devido a suas operações consideravelmente mais sofisticadas. Esse grupo é suspeito de ter comprometido os sistemas de escuta de várias operadoras de telecomunicações e internet dos EUA, incluindo AT&T, Lumen (antiga CenturyLink) e Verizon. Embora os detalhes da investigação ainda estejam em estágios iniciais, há preocupações sobre a gravidade das implicações dessa violação. Informes indicam que o Salt Typhoon pode ter acessado essas organizações por meio de roteadores Cisco comprometidos, e o governo dos EUA está diligentemente investigando o caso. As avaliações preliminares indicam que o alcance das violações ainda é incerto, mas fontes em segurança nacional afirmaram que a brecha poderia ser “potencialmente catastrófica”. Ao se infiltrar em sistemas utilizados por agências de aplicação da lei para coleta autorizada de dados de clientes, esse grupo de hackers pode ter obtido acesso a informações que incluem identidades potenciais de alvos da vigilância dos EUA.
Á medida que a situação se desdobra, as autoridades estão cada vez mais cientes da ameaça em expansão representada por esses grupos de hackers, suas ações e os possíveis riscos que representam não apenas para os Estados Unidos, mas para a segurança cibernética em escala global. A vigilância e a proteção contra essas ameaças emergentes se tornam, portanto, uma prioridade essencial para o governo e as agências responsáveis pela segurança cibernética.