Atualização: No dia 7 de fevereiro, várias agências governamentais dos EUA e internacionais divulgaram um aviso detalhando os ataques do Volt Typhoon. Os atores da ameaça atacaram e comprometeram os sistemas de TI das infraestruturas de comunicações, energia, transporte e água nos EUA continentais, assim como em territórios não continentais, como Guam.
Artigo original: Christopher Wray, Diretor do Federal Bureau of Investigation, afirmou que hackers patrocinados pelo Estado, ligados à China, estão direcionando roteadores de pequenos escritórios/escritórios domésticos nos EUA em um amplo ataque de botnet. Essa informação foi anunciada na quarta-feira, 31 de janeiro. A maioria dos roteadores afetados foram fabricados pela Cisco e NetGear e estão obsoletos.
Segundo os investigadores do Departamento de Justiça, em 31 de janeiro de 2024 o malware foi removido dos roteadores afetados. Além disso, os investigadores conseguiram desconectar esses roteadores dos demais dispositivos usados na botnet.
As equipes de TI precisam estar cientes de como reduzir os riscos de segurança cibernética resultantes do uso de tecnologia desatualizada por parte de trabalhadores remotos.
O que é o ataque de botnet Volt Typhoon?
Neste caso, a ameaça à segurança cibernética é uma botnet criada pelo grupo de atacantes Volt Typhoon, patrocinado pelo governo chinês.
A partir de maio de 2023, o FBI analisou uma campanha de ataque cibernético contra organizações de infraestrutura crítica. Em 31 de janeiro de 2024, o FBI revelou que uma investigação sobre o mesmo grupo de ameaças em dezembro de 2023 mostrou que invasores patrocinados pelo governo chinês criaram uma botnet usando centenas de roteadores de propriedade privada nos EUA.
O objetivo desse ataque foi causar danos nos setores de comunicações, energia, transporte e água dos EUA, a fim de interromper funções essenciais em caso de conflito entre os países, afirmou Wray no comunicado de imprensa.
VEJA: Diversas empresas de segurança e agências dos EUA estão de olho na botnet Androxgh0st, um botnet que tem como alvo credenciais na nuvem.
Os invasores utilizaram uma técnica chamada “viver da terra” para se camuflar no funcionamento normal dos dispositivos afetados.
O FBI está entrando em contato com todas as pessoas cujos equipamentos foram afetados por esse ataque específico. No entanto, ainda não foi confirmado se funcionários de uma determinada organização foram visados.
Como reduzir os riscos de segurança cibernética de botnets para trabalhadores remotos
O fato de os roteadores visados serem de propriedade privada destaca um risco de segurança para os profissionais de TI que estão tentando manter os trabalhadores remotos protegidos. Como os membros da equipe de TI não têm supervisão sobre os roteadores usados em casa, é difícil saber se os empregadores estão usando roteadores antigos ou que estão obsoletos.
Redes de bots são frequentemente usadas para lançar ataques distribuídos de negação de serviço ou para distribuir malware, por isso, é essencial ter uma defesa adequada contra eles como parte de uma defesa completa contra ataques de botnets. As botnets geralmente são controladas por um servidor centralizado que emite comandos.
As organizações devem garantir uma proteção sólida para os pontos de extremidade e implementar medidas proativas, como:
- Manter o software e o hardware atualizados, pois os dispositivos obsoletos são particularmente vulneráveis. Para proteger os dispositivos contra o uso em ataques de botnets, é importante realizar verificações de segurança regulares, implementar autenticação multifatorial e manter os funcionários informados sobre as melhores práticas de segurança cibernética.
- Aplicar patches em sistemas conectados à internet. É importante priorizar a correção de vulnerabilidades críticas nos dispositivos que são frequentemente explorados pelo Volt Typhoon.
- Implementar autenticação multifatorial resistente a phishing.
- Garantir que o registro de logs esteja ativado para logs de aplicativos, acesso e segurança, e armazenar esses logs em um sistema centralizado.
No comunicado de 7 de fevereiro, a agência de Segurança Cibernética e de Infraestrutura divulgou as seguintes medidas para as equipes de TI evitarem a atividade do Volt Typhoon:
- Aplicar patches para sistemas conectados à internet. Priorizar a correção de vulnerabilidades críticas em dispositivos conhecidos por serem frequentemente explorados pelo Volt Typhoon.
- Implementar autenticação multifatorial resistente a phishing.
- Garantir que o registro de logs esteja ativado para logs de aplicativos, acesso e segurança, e armazenar esses logs em um sistema centralizado.
“É essencial realizar inventários tecnológicos completos de ativos além do escritório tradicional”, disse Demi Ben-Ari, diretor de tecnologia da empresa terceirizada de tecnologia de gerenciamento de risco Panorays, em um e-mail para TechRepublic. “Essa abordagem auxilia na identificação de tecnologias obsoletas, garantindo que os trabalhadores remotos tenham equipamentos atualizados e seguros.
“Embora a realização de trabalho remoto introduza vulnerabilidades potenciais devido a ambientes variados, é importante observar que ataques semelhantes podem ocorrer em ambientes de escritório”, acrescentou Ben-Ari.