China é suspeita de invadir dados de todos os cidadãos dos EUA, incluindo Donald Trump

Em 2024, um grande ciberataque, conhecido como Ataque chinês Salt Typhoon, invadiu a infraestrutura dos Estados Unidos, alcançando inclusive sistemas ligados às eleições. Atribuído à China e apelidado de Salt Typhoon, o incidente levantou questões sobre a segurança digital. Após um ano de análises aprofundadas, a conclusão das investigações é que praticamente todos os cidadãos norte-americanos podem ter sido afetados por essa operação complexa e coordenada.

A estimativa foi divulgada por Cynthia Kaiser, uma ex-funcionária da divisão cibernética do FBI, que acompanhou de perto todo o período das investigações. Segundo o comunicado oficial, divulgado no último sábado (27), a campanha do Salt Typhoon se desenrolou por vários anos. Ela incluiu etapas bem planejadas, mirando a infiltração em setores cruciais para a economia dos Estados Unidos.

Entre os sistemas que foram comprometidos, destacam-se empresas de telecomunicações, diversas redes governamentais, infraestruturas de transporte e hospedagem, e até mesmo a estrutura militar do país. A abrangência mostra o nível de sofisticação e a persistência dos invasores. O objetivo principal, segundo as autoridades, não era apenas causar danos, mas sim realizar contraespionagem.

Com o material que foi obtido, os agentes responsáveis pelo ataque teriam conseguido rastrear indivíduos por meio de redes de comunicação, além de interceptar mensagens consideradas sensíveis. Essa capacidade representa um risco significativo para a privacidade e a segurança nacional. As implicações desse tipo de vigilância são vastas e ainda estão sendo avaliadas pelas agências de segurança.

Alvos de Alto Interesse no Ataque Chinês

O relatório das investigações aponta que os principais alvos desse ataque seriam figuras políticas, espiões e ativistas. Entre as pessoas consideradas de alto interesse estava o então presidente norte-americano, Donald Trump, e seu vice, JD Vance. Até o momento, não há uma confirmação oficial de que eles tiveram seus dados ou comunicações comprometidos diretamente pelo ataque.

Essa ambição de atingir figuras proeminentes não é algo inédito no cenário da cibersegurança global. É importante lembrar que até a própria Casa Branca já sofreu ataques. Um exemplo disso aconteceu em 2020, quando os sistemas da SolarWinds foram invadidos, causando uma reação em cadeia com impactos consideráveis. Esse incidente teve consequências sem precedentes.

Durante meses, os criminosos conseguiram monitorar os sistemas de câmera da sede da democracia norte-americana. Este evento, conhecido como Sunburst, resultou em mais de US$ 90 milhões apenas em custos de reação e perícia. Câmeras de segurança e outros dispositivos de vigilância foram explorados, expondo a vulnerabilidade de sistemas críticos.

O malware Sunburst afetou áreas importantes do governo dos EUA, como os Departamentos de Justiça, Segurança Interna, Comércio e Tesouro. Além disso, grandes empresas de tecnologia também foram impactadas, incluindo FireEye, Microsoft, Intel, Cisco, Deloitte e Mandiant. O ataque com o Sunburst também chamou atenção pela sua escala, similar ao Salt Typhoon, e pela sofisticação, levando meses de preparação antes de ser executado. Ele foi relacionado à Rússia e recebeu o nome de Cozy Bear (APT29).

Abrangência Global e Apoio Estatal

Os ataques atribuídos a pelo menos três empresas chinesas do setor de cibersegurança fazem parte de uma campanha internacional. De acordo com o relatório, que também conta com o apoio de outras potências cibernéticas, estima-se que mais de 80 países possam ter sido afetados de maneira semelhante. O propósito principal, assim como no caso norte-americano, seria fornecer à China a capacidade de identificar e rastrear indivíduos em escala global.

Para conseguir atingir essa enorme escala, o ataque teria contado com o apoio direto do Estado chinês. Envolveu uma coalizão de agentes maliciosos que atuaram de forma coordenada. Entre alguns dos nomes já identificados pelas autoridades de cibersegurança, além do Salt Typhoon, estão: Operator Panda, RedMike, UNC5807 e GhostEmperor. Essas designações mostram a diversidade e organização dos grupos envolvidos na operação.

Sobre a dimensão do caso, Jennifer Ewbank, ex-diretora-adjunta de inovação digital da CIA, comentou que “De muitas maneiras, o Salt Typhoon marca um novo capítulo”. Ela ressaltou os avanços nas técnicas e a disciplina demonstrada nos ataques, quando comparados com a atuação cibernética da China nas últimas décadas. Essa evolução exige uma resposta igualmente sofisticada em termos de defesa.

O relatório oficial admite que ainda não foi possível determinar como o acesso inicial aos sistemas foi conquistado. Ou seja, o primeiro ponto de falha que desencadeou todo o incidente ainda é um mistério para as autoridades. Também foi notado que não houve abuso de uma vulnerabilidade desconhecida, o que é chamado de Falha de Dia Zero ou Zero Day Flaw.

Táticas de Invasão e Vulnerabilidades Exploradas

Desde 2021, os cibercriminosos têm utilizado diversas táticas para invadir redes corporativas. Isso inclui a alteração de roteadores para se mover entre diferentes sistemas e o uso de contêineres virtualizados em dispositivos de rede. Essas medidas dificultam a detecção das atividades maliciosas. As técnicas usadas evoluem constantemente, à medida que perdem a eficácia, mas continuam fazendo parte do arsenal dos invasores.

Para tentar entender melhor o problema, o relatório lista algumas vulnerabilidades e exposições comuns (CVEs) que ainda não foram corrigidas e podem ter contribuído para o sucesso do ataque. É uma maneira de alertar sobre pontos fracos conhecidos.

• CVE-2024-21887: Uma brecha em sistemas Ivanti que permite a execução de comandos maliciosos por invasores. Geralmente, ela é usada em conjunto com outra falha (CVE-2023-46805) para facilitar o acesso sem precisar de senha.
• CVE-2024-3400: Falha em firewalls da Palo Alto que pode permitir que hackers assumam o controle do equipamento sem necessidade de autenticação. Explora o recurso GlobalProtect em algumas versões específicas.
• CVE-2023-20273: Problema no sistema Cisco IOS XE que pode conceder privilégios de administrador a invasores após a autenticação. É frequentemente usado junto com a CVE-2023-20198.
• CVE-2023-20198: Vulnerabilidade em dispositivos Cisco IOS XE que permite a hackers criarem contas administrativas sem autorização, facilitando diversos ataques.
• CVE-2018-0171: Uma falha antiga em equipamentos Cisco que possibilita que invasores controlem o sistema remotamente, demonstrando que vulnerabilidades mais antigas ainda são exploradas.

Através dessas falhas, os cibercriminosos exploravam servidores privados virtuais (VPS) e comprometiam roteadores intermediários que estavam desprotegidos. Os alvos principais eram serviços de rede e telecomunicações, incluindo provedores de internet. Além disso, os ataques eram realizados independentemente dos usuários em cada máquina, mesmo que não pertencessem à lista de alto interesse. Esse escopo amplo de atuação fornecia aos agentes maliciosos mais possibilidades e ângulos para continuar a invasão e o monitoramento.

Uma vez que esses sistemas eram comprometidos, os criminosos utilizavam as conexões confiáveis para navegar sem restrições entre redes privadas, muitas vezes envolvendo ambientes corporativos. Para complicar ainda mais a situação, há indícios de que um grande número de dispositivos expostos na internet foi explorado, criando “portas abertas” para o retorno fácil dos invasores, garantindo a persistência do acesso.

Estratégias para Aumentar a Proteção Digital

Por se tratar de um ciberataque de escala massiva, que atingiu diretamente infraestruturas essenciais de comunicação e serviço, as opções de defesa no nível do usuário final podem parecer limitadas. Contudo, adotar algumas boas práticas ainda pode ajudar a minimizar os danos e evitar problemas futuros. Pequenas ações individuais contribuem para a segurança coletiva.

• Utilize senhas complexas, com pelo menos 16 caracteres, incluindo símbolos especiais como porcentagem (%), cifrão ($), arroba (@), til (~) e ponto de exclamação (!).
• Não repita senhas entre diferentes serviços e plataformas. Além disso, é uma boa ideia alterá-las a cada seis meses para aumentar a segurança.
• Para facilitar a gestão de senhas complexas, use um gerenciador de senhas confiável. Ele armazena suas credenciais de forma segura e ajuda a criar senhas fortes.
• Utilize múltiplos fatores de autenticação (MFA) sempre que possível, pois isso adiciona uma camada extra de segurança caso a primeira senha seja comprometida.
• Evite utilizar softwares piratados, já que eles podem conter códigos maliciosos que abrem portas para invasões e comprometem a segurança do seu sistema.
• Não instale dispositivos ligados à internet das coisas (IoT), como câmeras e caixas de som, diretamente em sua rede principal, especialmente se não tiver certeza da segurança deles.
• Não utilize dispositivos conectados à internet que não possuam o selo de alguma agência reguladora, como a Anatel no Brasil, que certifica a conformidade e a segurança do equipamento.
• Considere sempre a importância de manter-se atualizado sobre os golpes cibernéticos mais comuns e aprender as melhores formas de se proteger no ambiente digital.

Manter a atenção e a proatividade na segurança digital é fundamental para navegar na internet com mais tranquilidade. Ficar por dentro das últimas notícias sobre ameaças cibernéticas pode ajudar a fortalecer suas defesas contra ataques cada vez mais sofisticados.

Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.