A gigante das telecomunicações norte-americana T-Mobile confirmou que também estava entre as empresas que foram alvos de cibercriminosos chineses para obter acesso a informações valiosas.
Os adversários, rastreados como Salt Typhoon , invadiram a empresa como parte de uma “campanha de meses” projetada para coletar comunicações de celulares de “alvos de inteligência de alto valor”. Não está claro quais informações foram obtidas, se houver, durante a atividade maliciosa.
“A T-Mobile está monitorando de perto esse ataque em toda a indústria e, neste momento, os sistemas e dados da T-Mobile não foram impactados de forma significativa, e não temos evidências de impactos nas informações dos clientes”, disse um porta-voz da empresa ao The Wall Street Journal. “Continuaremos monitorando isso de perto, trabalhando com colegas da indústria e as autoridades relevantes.”
Com o mais recente desenvolvimento, a T-Mobile se juntou a uma lista de grandes organizações como AT&T, Verizon e Lumen Technologies que foram apontadas como parte do que parece ser uma campanha de espionagem cibernética em larga escala.
Até agora, os relatórios não mencionam o grau de sucesso desses ataques, se algum tipo de malware foi instalado ou que tipo de informação eles buscavam. O acesso não autorizado do Salt Typhoon aos registros de dados celulares dos americanos foi divulgado anteriormente pelo Politico.
Na semana passada, o governo dos EUA disse que sua investigação em andamento sobre o ataque à infraestrutura de telecomunicações comerciais revelou um ataque “amplo e significativo” orquestrado pela República Popular da China (RPC).
“Atores afiliados à RPC comprometeram redes em diversas empresas de telecomunicações para permitir o roubo de dados de registros de chamadas de clientes, o comprometimento de comunicações privadas de um número limitado de indivíduos que estão envolvidos principalmente em atividades governamentais ou políticas e a cópia de certas informações que estavam sujeitas a solicitações de autoridades policiais dos EUA de acordo com ordens judiciais”, disse .
Ele alertou ainda que a extensão e o escopo desses comprometimentos podem aumentar à medida que a investigação continua.
Salt Typhoon , também conhecido como Earth Estries, FamousSparrow, GhostEmperor e UNC2286, estaria ativo desde pelo menos 2020, de acordo com a Trend Micro. Em agosto de 2023, a equipe de espionagem foi vinculada a uma série de ataques direcionados a governos e indústrias de tecnologia sediadas nas Filipinas, Taiwan, Malásia, África do Sul, Alemanha e EUA.
A análise mostra que os agentes de ameaças elaboraram metodicamente suas cargas úteis e fizeram uso de uma combinação interessante de ferramentas e técnicas legítimas e personalizadas para contornar as defesas e manter o acesso aos seus alvos.
“A Earth Estries mantém a persistência atualizando continuamente suas ferramentas e emprega backdoors para movimentação lateral e roubo de credenciais”, disseram os pesquisadores da Trend Micro Ted Lee, Leon M Chang e Lenart Bermejo em uma análise exaustiva publicada no início deste mês.
“A coleta e a exfiltração de dados são realizadas usando o TrillClient, enquanto ferramentas como o cURL são usadas para enviar informações para serviços de compartilhamento de arquivos anônimos, empregando proxies para ocultar o tráfego de backdoor.”
A empresa de segurança cibernética disse que observou duas cadeias de ataque distintas empregadas pelo grupo, indicando que o tradecraft que o Salt Typhoon tem em seu arsenal é amplo, pois é variado. O acesso inicial às redes alvo é facilitado pela exploração de vulnerabilidades em serviços voltados para o exterior ou utilitários de gerenciamento remoto.
Em um conjunto de ataques, o agente da ameaça foi encontrado aproveitando instalações vulneráveis ou mal configuradas do QConvergeConsole para distribuir malware como o Cobalt Strike, um ladrão personalizado baseado em Go chamado TrillClient , e backdoors como HemiGate e Crowdoor , uma variante do SparrowDoor que já foi usada por outro grupo ligado à China chamado Tropic Trooper .
Algumas das outras técnicas incluem o uso do PSExec para instalar lateralmente seus backdoors e ferramentas, e do TrillClient para coletar credenciais de usuários de perfis de usuários de navegadores da web e exfiltrá-las para uma conta do Gmail controlada pelo invasor por meio do Protocolo Simples de Transferência de Correio (SMTP) para promover seus objetivos.
A segunda sequência de infecção, por outro lado, é muito mais sofisticada, com os agentes da ameaça abusando de servidores Microsoft Exchange suscetíveis para implantar o shell da web China Chopper , que é então usado para entregar Cobalt Strike, Zingdoor e Snappybee (também conhecido como Deed RAT), um suposto sucessor do malware ShadowPad .
“A entrega desses backdoors e ferramentas adicionais é feita por meio de um servidor [de comando e controle] ou usando cURL para baixá-los de servidores controlados pelo invasor”, disseram os pesquisadores. “Essas instalações de backdoor também são substituídas e atualizadas periodicamente.”
“A coleta de documentos de interesse é feita via RAR e exfiltrada usando cURL, com os dados sendo enviados para serviços de compartilhamento de arquivos anonimizados.”
Também são utilizados nos ataques programas como NinjaCopy para extrair credenciais e PortScan para descoberta e mapeamento de rede. A persistência no host é realizada por meio de tarefas agendadas.
Em um caso, acredita-se também que o Salt Typhoon tenha redirecionado o servidor proxy de uma vítima para encaminhar tráfego para o servidor de comando e controle (C2) real, em uma tentativa de ocultar o tráfego malicioso.
A Trend Micro observou que uma das máquinas infectadas também abrigava dois backdoors adicionais chamados Cryptmerlin, que executa comandos adicionais emitidos por um servidor C2, e FuxosDoor, um implante do Internet Information Services (IIS) implantado em um Exchange Server comprometido e também projetado para executar comandos usando cmd.exe.
“Nossa análise dos TTPs persistentes da Earth Estries em operações cibernéticas prolongadas revela um agente de ameaça sofisticado e adaptável que emprega várias ferramentas e backdoors, demonstrando não apenas capacidades técnicas, mas também uma abordagem estratégica para manter o acesso e o controle em ambientes comprometidos”, disseram os pesquisadores.
“Ao longo de suas campanhas, a Earth Estries demonstrou um profundo entendimento de seus ambientes alvo, identificando continuamente camadas expostas para reentrada. Ao usar uma combinação de ferramentas estabelecidas e backdoors personalizados, eles criaram uma estratégia de ataque multicamadas que é difícil de detectar e mitigar.”