Governo dos EUA investiga VPN hack dentro de agências federais, corre para encontrar pistas
É o mais recente ataque cibernético à cadeia de suprimentos, destacando como grupos sofisticados, geralmente apoiados pelo governo, têm como alvo softwares vulneráveis desenvolvidos por terceiros como um trampolim para redes de computadores corporativas e governamentais sensíveis.
As novas violações do governo envolvem uma popular rede virtual privada (VPN) conhecida como Pulse Connect Secure, que os hackers conseguiram invadir à medida que os clientes a usavam.
Mais de uma dúzia de agências federais executam o Pulse Secure em suas redes, de acordo com registros de contratos públicos. Uma diretiva de segurança cibernética de emergência na semana passada exigiu que as agências examinassem seus sistemas em busca de compromissos relacionados e relatassem.
Os resultados, coletados na sexta-feira e analisados nesta semana, mostram evidências de possíveis violações em pelo menos cinco agências civis federais, disse Matt Hartman, um oficial sênior da Agência de Segurança de Infraestrutura de Segurança Cibernética dos Estados Unidos.
“Esta é uma combinação de espionagem tradicional com algum elemento de roubo econômico”, disse um consultor de segurança cibernética familiarizado com o assunto. “Já confirmamos a exfiltração de dados em vários ambientes.”
A fabricante do Pulse Secure, empresa de software Ivanti, com sede em Utah, disse que espera fornecer um patch para corrigir o problema até esta segunda-feira, duas semanas depois de ter sido divulgado pela primeira vez. Apenas um “número muito limitado de sistemas de clientes” foi penetrado, acrescentou.
Nos últimos dois meses, CISA e o FBI têm trabalhado com o Pulse Secure e as vítimas do hack para expulsar os intrusos e descobrir outras evidências, disse outro oficial americano que não quis ser identificado, mas está respondendo aos hacks. O FBI, Departamento de Justiça e Agencia de Segurança Nacional se recusou a comentar.
A investigação do governo dos EUA sobre a atividade do Pulse Secure ainda está em seus estágios iniciais, disse o funcionário sênior dos EUA, que acrescentou que o escopo, o impacto e a atribuição permanecem obscuros.
Pesquisadores de segurança da firma de segurança cibernética FireEye dos Estados Unidos e de outra empresa, que não quis ser identificada, dizem que observaram vários grupos de hackers, incluindo uma equipe de elite que associam com a China, explorando a nova falha e vários outros semelhantes desde 2019.
Em um comunicado na semana passada, o porta-voz da embaixada chinesa, Liu Pengyu, disse que a China “se opõe firmemente e reprime todas as formas de ataques cibernéticos”, descrevendo as alegações da FireEye como “irresponsáveis e mal-intencionadas”.
O uso de VPNs, que criam túneis criptografados para conexão remota com redes corporativas, disparou durante a pandemia COVID-19. No entanto, com o crescimento do uso de VPN, também aumentou o risco associado.
“Este é outro exemplo de um padrão recente de ciberatores visando vulnerabilidades em produtos VPN amplamente utilizados, já que nossa nação permanece amplamente em posturas de trabalho remoto e híbrido “, disse Hartman.
Três consultores de segurança cibernética envolvidos na resposta aos hacks disseram à Reuters que a lista de vítimas está voltada para os Estados Unidos e até agora inclui empreiteiros de defesa, agências governamentais civis, empresas de energia solar, empresas de telecomunicações e instituições financeiras.
Os consultores também disseram estar cientes de menos de 100 vítimas combinadas até o momento, sugerindo um foco bastante estreito por parte dos hackers.
Os analistas acreditam que a operação maliciosa começou por volta de 2019 e explorou falhas mais antigas no Pulse Secure e em produtos separados feitos pela empresa de segurança cibernética Fortinet antes de invocar as novas vulnerabilidades.
Hartman disse que os hacks da agência civil datam de pelo menos junho de 2020.
HACKING O FORNECIMENTO
Um relatório recente do Atlantic Council, um think tank de Washington, estudou 102 incidentes de hacking na cadeia de suprimentos e descobriu que eles aumentaram nos últimos três anos. Trinta dos ataques vieram de grupos apoiados pelo governo, principalmente na Rússia e na China, disse o relatório.
A resposta do Pulse Secure ocorre em um momento em que o governo ainda está lutando contra as consequências de três outros ataques cibernéticos.
O primeiro é conhecido como hack SolarWinds, no qual suspeitos hackers do governo russo comandaram o programa de gerenciamento de rede da empresa para se infiltrar em nove agências federais.
Uma fraqueza em MicrosoftO software de servidor de e-mail da, chamado Exchange, explorado por um grupo diferente de hackers chineses, também exigiu um grande esforço de resposta, embora não tenha havido impacto nas redes federais, segundo autoridades americanas.
Então, uma fraqueza em um fabricante de ferramentas de programação chamado Codecov deixou milhares de clientes expostos dentro de seus ambientes de codificação, revelou a empresa este mês.
Algumas agências governamentais estavam entre os clientes que fizeram os hackers do Codecov obterem credenciais para acesso posterior a repositórios de código ou outros dados, de acordo com uma pessoa informada sobre a investigação. Codecov, o FBI e o Departamento de Segurança Interna se recusaram a comentar o caso.
Os Estados Unidos planejam resolver alguns desses problemas sistêmicos com uma ordem executiva em breve que exigirá que as agências identifiquem seus softwares mais críticos e promovam uma “lista de materiais” que exija um certo nível de segurança digital nos produtos vendidos ao governo.
“Nós pensamos [this is] a maneira mais impactante de realmente impor custos a esses adversários e torná-los muito mais difíceis “, disse o alto funcionário dos EUA.
FacebookTwitterLinkedin
Source link
