Quando o grupo de hackers chinês conhecido como Sal Tifão foi revelado no outono passado por ter penetrado profundamente em grandes empresas de telecomunicações dos EUA—ultimamente invadindo não menos que nove das operadoras de telefonia e acessando textos e chamadas dos americanos em tempo real—essa campanha de hacking foi tratada como um incêndio de quatro alarmes pelo governo dos EUA. No entanto, mesmo após a exposição de altos perfis desses hackers, eles continuaram sua onda de invasões em redes de telecomunicações em todo o mundo, incluindo mais nos EUA.
Pesquisadores da empresa de cibersegurança Recorded Future revelaram em um relatório que viram o Sal Tifão invadir cinco telecomunicações e provedores de serviços de internet ao redor do mundo, assim como mais de uma dúzia de universidades de Utah ao Vietnã, tudo entre dezembro e janeiro. As telecomunicações incluem um provedor de internet e empresa de telecomunicações dos EUA e outra subsidiária dos EUA de uma telecomunicação do Reino Unido, segundo os analistas da empresa, embora tenham se recusado a nomear essas vítimas para a WIRED.
“Eles estão super ativos, e continuam a ser super ativos,” diz Levi Gundert, que lidera a equipe de pesquisa da Recorded Future conhecida como Insikt Group. “Acho que há uma subestimação geral sobre quão agressivos eles estão sendo ao transformar redes de telecomunicações em queijo suíço.”
Para realizar esta última campanha de intrusões, o Sal Tifão—que a Recorded Future rastreia sob seu próprio nome, RedMike, em vez do handle Typhoon criado pela Microsoft—se concentrou nas interfaces web expostas à internet do software IOS da Cisco, que roda nos roteadores e switches do gigante de redes. Os hackers exploraram duas vulnerabilidades diferentes no código desses dispositivos, uma das quais concede acesso inicial, e outra que fornece privilégios de root, dando aos hackers controle total de um equipamento frequentemente poderoso com acesso à rede de uma vítima.
“Sempre que você está embutido em redes de comunicação em infraestrutura como roteadores, você tem as chaves do reino sobre o que pode acessar, observar e exfiltrar,” diz Gundert.
A Recorded Future encontrou mais de 12.000 dispositivos Cisco cujas interfaces web estavam expostas online, e afirma que os hackers visaram mais de mil desses dispositivos instalados em redes ao redor do mundo. Desses, parece que eles se concentraram em um subconjunto menor de redes de telecomunicações e universidades cujos dispositivos Cisco eles conseguiram explorar. Para esses alvos selecionados, o Sal Tifão configurou os dispositivos Cisco hackeados para se conectar aos servidores de comando e controle dos hackers por meio de encapsulamento de roteamento genérico, ou túneis GRE—um protocolo usado para estabelecer canais de comunicação privados—e então utilizou essas conexões para manter seu acesso e roubar dados.
Quando a WIRED entrou em contato com a Cisco para comentar, a empresa apontou para um aviso de segurança que publicou sobre vulnerabilidades na interface web do seu software IOS em 2023. “Continuamos a instar fortemente os clientes a seguir as recomendações descritas no aviso e atualizar para a versão de software corrigida disponível,” escreveu um porta-voz em uma declaração.
Hackear aparelhos de rede como pontos de entrada para alvos—frequentemente explorando vulnerabilidades conhecidas que os proprietários dos dispositivos falharam em corrigir—tornou-se procedimento padrão para o Sal Tifão e outros grupos de hackers chineses. Isso, em parte, porque esses dispositivos de rede carecem de muitos dos controles de segurança e softwares de monitoramento que foram estendidos a dispositivos de computação mais tradicionais, como servidores e PCs. A Recorded Future observa em seu relatório que equipes de espionagem sofisticadas da China têm como alvo esses aparelhos de rede vulneráveis como uma técnica primária de intrusão por pelo menos cinco anos.
O fato de que o Sal Tifão continua a realizar negócios como de costume é, no entanto, notável, dizem os analistas da Recorded Future. As atividades do grupo foram expostas na mídia, em relatórios do governo e anúncios emitidos pela FCC, CISA e pela Casa Branca, até mesmo em sanções emitidas pelo Tesouro dos EUA. Mas isso não fez com que os hackers mudassem de curso. Em 17 de janeiro, o Tesouro sancionou a Sichuan Juxinhe Network Technology, uma empresa de cibersegurança supostamente ligada às operações do Sal Tifão. E ainda assim, Gundert diz que a Recorded Future não viu qualquer cessação ou desaceleração das atividades dos hackers mesmo desde essa data.
“Essa é a parte decepcionante sobre isso,” diz Gundert. “Mesmo com toda a atenção, não observamos qualquer mudança real no volume ou na velocidade dos ataques, mesmo no mesmo segmento alvo das telecomunicações.”
Após a campanha de hacking do Sal Tifão visando redes de telecomunicações dos EUA vir à tona no outono passado, o então diretor do FBI, Christopher Wray, descreveu as invasões da empresa de telefonia como a “mais significativa campanha de ciberespionagem da história da China.” As intrusões, que em alguns casos exploraram os mecanismos de escuta telefônica embutidos nas telecomunicações para uso da aplicação da lei, levaram oficiais da CISA e do FBI a recomendar que os americanos usassem aplicativos de comunicação criptografados de ponta a ponta como Signal e WhatsApp para evitar deixar seus textos e chamadas vulneráveis à espionagem em tempo real da China.
Nesta última onda de intrusões, a Recorded Future afirma ter visto os hackers chineses invadirem não apenas o provedor de internet e a empresa de telecomunicações dos EUA e uma filial dos EUA de uma telecomunicação britânica, mas também telecomunicações na África do Sul e Tailândia e um provedor de internet na Itália, embora tenha se recusado a nomear qualquer uma dessas vítimas. Também viu o grupo mirarem um espectro mais amplo de universidades em todo o mundo para aparente espionagem, incluindo na Argentina, Bangladesh, Indonésia, Malásia, México, Países Baixos, Tailândia, Vietnã e nos EUA—incluindo a Universidade da Califórnia, Califórnia State, Utah Tech e Loyola University.
A Recorded Future afirma que conseguiu obter visibilidade sobre essas intrusões ao identificar a infraestrutura de comando e controle utilizada pelo Sal Tifão, embora não tenha explicado mais sua metodologia. Os analistas da empresa observam que pode haver outras partes da campanha de hacking do grupo—e outras vítimas—que não descobriram.
“Eles só se tornaram mais ousados,” diz Jon Condra, outro analista da Recorded Future. “Suspeito fortemente que é muito maior do que o que vimos.”