São Paulo — InkDesign News — Pesquisadores da empresa de segurança Silent Push identificaram um grupo de 45 domínios associados a grupos de ameaça apoiados pela China, incluindo o notório Salt Typhoon. Este coletivo tem utilizado os domínios em esforços de ciberespionagem para obter acesso prolongado a organizações-alvo.
Vetor de ataque
Os domínios foram registrados por indivíduos utilizando pseudônimos e endereços falsos. Silent Push reportou que essas infraestruturas estão ligadas a Salt Typhoon e UNC4841. Salt Typhoon, vinculado ao Ministério de Segurança do Estado da República Popular da China (MSS), destacou-se em campanhas de ataques direcionados a provedores de telecomunicações.
Impacto e resposta
Os pesquisadores afirmaram que “nossa equipe identificou padrões importantes de registro de domínios na infraestrutura de comando e controle (C2) publicamente relatada” (
“our team has identified key domain registration patterns in the publicly reported command and control (C2) infrastructure”
(“our team has identified key domain registration patterns in the publicly reported command and control (C2) infrastructure”)— Pesquisadores, Silent Push
). O impacto das atividades de ciberespionagem é significativo, pois os atores tiveram acesso a redes telecomunicações durante um ano antes de serem detectados. Além disso, o domínio mais antigo identificado, onlineeylity[.]com, foi registrado em maio de 2020, e os pesquisadores têm recomendado uma verificação proativa dos logs DNS por organizações potencialmente afetadas.
Análise e recomendações
Os pesquisadores destacaram que mesmo que os domínios identificados possam não estar mais ativos, “todos os domínios associados ao Salt Typhoon e UNC4841 apresentam um nível significativo de risco” (
“all domains associated with Salt Typhoon and UNC4841 present a significant level of risk”
(“all domains associated with Salt Typhoon and UNC4841 present a significant level of risk”)— Pesquisadores, Silent Push
). As organizações devem realizar uma análise de sua infraestrutura para identificar possíveis interações com esses domínios e implementar mitigação adequada. As análises devem considerar, principalmente, a exploração de falhas em dispositivos de segurança de e-mail e verificar logs de atividades dos últimos cinco anos.
Projeções indicam que a atividade de ciberespionagem por parte de grupos como Salt Typhoon continuará a evoluir, tornando fundamental a vigilância constante e o aprimoramento de defesas cibernéticas no setor.
Fonte: (Dark Reading – Segurança Cibernética)
