Um grupo de hackers alinhados com o governo chinês, conhecido como APT41 (Advanced Persistent Threat 41), ou Double Dragon, se infiltrou nas redes de computadores de seis governos estaduais dos EUA em uma recente onda de ataques. Eles obtiveram acesso ao explorar as vulnerabilidades em um aplicativo que rastreia vacas.
Especialistas em inteligência de ameaças da Mandiant, empresa norte- americana de segurança cibernética de capital aberto, dizem que os hackers invadiram os computadores por meio do chamado zero-day [quando o sistema é atacado antes que os desenvolvedores tenham a chance de lidar com a falha] em instâncias voltadas para a internet do Sistema de Diagnóstico de Relatórios de Emergência de Saúde Animal dos EUA, ou USAHerds [aplicativo desenvolvido pelo Departamento de Agricultura da Pensilvânia e depois adotado por outros estados como um modelo para melhorar a rastreabilidade de doenças no gado].
LEIA TAMBÉM: Especialistas alertam para os principais ataques cibernéticos de 2022
A Mandiant acredita que a vulnerabilidade no USAHerds tinha fortes semelhanças com uma que afetou o servidor Microsoft Exchange – que também foi explorado pelo APT41.
Agências agrícolas em pelo menos 18 estados utilizam o USAHerds para monitorar o gado, mas apenas seis foram violados pelo APT41, de acordo com a Mandiant. Isso pode ter ocorrido porque o USAHerds só permitiu que os hackers ganhassem uma posição inicial. Vulnerabilidades adicionais em outros aplicativos, ou serviços voltados para a web, foram comprometidos e impediram um ataque maior às redes estaduais.
A Mandiant começou a investigar a atividade do grupo em maio de 2021 e a rastreou até fevereiro [o anúncio do ataque ocorreu na semana passada, 8/3]. Até agora, a Mandiant não tem certeza de qual era o objetivo do APT41, além da violação inicial das redes governamentais em nível estadual.
Embora os objetivos específicos não sejam conhecidos, a Mandiant afirma que sua investigação “revelou uma variedade de novas técnicas, variantes de malware, métodos de evasão e recursos”.
Uma dessas descobertas é uma nova versão do malware Keyplug do APT41. O Keyplug é um backdoor avançado e altamente modular. Ele fornece ao grupo várias maneiras de se comunicar e controlar sistemas comprometidos. Historicamente, o Keyplug era utilizado em servidores Windows, mas esta nova versão foi construída para servidores Linux.
Que o APT41 continue a evoluir não deve ser uma surpresa. Eles continuam sendo um dos grupos de ameaças persistentes mais sofisticados do mundo. Seus ataques podem ser motivados financeiramente ou politicamente, com dados roubados geralmente sendo vendidos para o maior lance.
O grupo procura aplicativos vulneráveis em escala global e lança ataques em massa. Ultimamente, no entanto, o APT41 parece ter focado seus esforços em alvos nos EUA e partes do Sudeste Asiático. O grupo invadiu computadores de centenas de empresas e organizações de todo mundo, incluindo o setor das telecomunicações, indústria farmacêutica, programadores de software, ONGs e universidades.