Sign in Subscribe
Newsletter

PacificNews#206: The pale blue dot

PacificNews#206: The pale blue dot

Agências de inteligência alertam sobre o “Sistema Global de Espionagem” chinês

Agências governamentais ao redor do mundo juntaram forças para publicar um comunicado conjunto alertando sobre como a China está montando um “sistema global de espionagem e monitoramento”. O documento foi assinado por diferentes nações, como Canadá, Austrália, Nova Zelândia, Reino Unido, Alemanha, Japão, e outros, incluindo agências de cibersegurança e inteligência, como CISA, FBI e NSA. A ideia do documento é demonstrar como atores de ameaças patrocinados pelo Estado chinês, como o Salt Typhoon, por exemplo, podem invadir redes de computadores ao redor do mundo e manter uma persistência. E como defensores podem agir contra estes atores.

O modus operandi destes grupos, segundo o relatório, é atacar redes nos setores de telecomunicações, governo, transporte, hospedagem e defesa, frequentemente com foco em comprometer grandes roteadores de backbone, roteadores de borda de provedores e clientes, dispositivos comprometidos e conexões confiáveis para se mover para outras redes. As atividades do Salt Typhoon, por exemplo, conseguem ser observadas desde 2021 explorando diversas falhas como CVE-2024-21887, CVE-2024-3400 e CVE-2018-0171.

Para manter persistência no ambiente de suas vítimas, os grupos de ameaça usam diversas táticas a depender de onde se encontram, mas, especialmente, a modificação arbitrária de listas de controle de acesso (ACLs), adicionando seus endereços de IP, abrindo portas incomuns e habilitando servidores SSH, basicamente expondo sua infraestrutura para a internet. Claro, estes são apenas alguns exemplos, já que os atores de ameaças são excelentes em adaptar suas táticas de acordo com os ambientes atacados.

Após manter uma presença persistente em um ambiente, os ofensores buscam a movimentação lateral, ou seja, movimentar-se livremente pela rede invadida, usando táticas exaustivas que vão desde a captura de tráfego de rede contendo credenciais por meio de roteadores comprometidos até a prática de força bruta contra credenciais fracas.

Mas e como mitigar estas ameaças?

As agências fizeram extensivas considerações sobre formas de tentar se proteger das ofensivas chinesas e de outros agentes de ameaças. Primeiramente, o monitoramento contínuo de configurações de dispositivos de rede é primordial, afinal, será onde o agente tentará garantir sua persistência. Também é importante monitorar contêineres virtualizados em busca de sinais de adulteração, auditar serviços e túneis de rede e sempre manter a verificação e centralização de logs. 

De acordo com Frankie Sclafani, diretor de cibersegurança: “Em vez de apenas espionar, grupos como o Salt Typhoon agora estão se infiltrando profundamente nas redes de infraestrutura crítica em todo o mundo. Isso não se trata apenas de roubar dados; trata-se de obter acesso de longo prazo para uma possível interrupção.”

Leia mais

A Era do ransomware gerado por IA chegou

Os invasores estão recorrendo cada vez mais à IA generativa, inclusive para desenvolver malware e oferecer serviços de ransomware a outros cibercriminosos. De acordo com um relatório de inteligência de ameaças recém-divulgado pela Anthropic AI, criminosos digitais foram recentemente identificados utilizando modelos de linguagem da empresa no processo de desenvolvimento de ransomware.

Um dos casos envolve o agente de ameaças cibernéticas baseado no Reino Unido, identificado como GTG-5004 e ativo desde o início deste ano. Em fóruns de crimes virtuais, o GTG-5004 tem oferecido serviços de ransomware com preços que variam entre US$400 e US$1.200, disponibilizando diferentes ferramentas conforme o nível do pacote. A Anthropic afirma ter banido a conta associada à operação de ransomware e introduzido “novos métodos” para detectar e prevenir a geração de malware em suas plataformas. Entre eles estão técnicas de detecção de padrões, conhecidas como regras YARA, utilizadas para identificar malware e hashes maliciosos que possam ser enviados para os sistemas da empresa.

As descobertas da Anthropic se somam a uma pesquisa separada, divulgada nesta semana pela empresa de segurança ESET, que apresenta uma aparente prova de conceito para um tipo de ataque de ransomware executado inteiramente por LLMs locais em um servidor malicioso. Segundo os pesquisadores, o malware denominado PromptLock (executado em grande parte localmente em uma máquina e baseado em um modelo de IA de código aberto da OpenAI) é capaz de “gerar scripts Lua maliciosos em tempo real” para inspecionar arquivos-alvo, roubar dados e implementar criptografia.

De acordo com algumas estimativas, o número de ataques de ransomware atingiu níveis recordes no início de 2025, e os criminosos continuam lucrando centenas de milhões de dólares por ano. Como afirmou Paul Nakasone, ex-diretor da Agência de Segurança Nacional dos EUA e do Comando Cibernético, durante a conferência de segurança Defcon, em Las Vegas, no início deste mês: “Não estamos progredindo contra o ransomware.”

Leia mais

Patches & Updates

Exploits:
De acordo com um relatório produzido pelo grupo Insikt, mais da metade das explorações de vulnerabilidades são conduzidas por grupos apoiados por Estados-Nação, totalizando 53% de ataques. Na sequência, com 27% das explorações, estão os ataques motivados financeiramente que não envolvam ransomware, sendo que extorsões e ransomware ocupam o terceiro lugar, com 20% das ações ofensivas. A maior parte dos ataques cibernéticos de grupos patrocinados por governos vêm da China. Outra curiosidade são as formas de exploits: cerca de 69% dos exploits não necessitam de autenticação, com 30% dos exploits habilitando exploração remota de código (RCE). O relatório todo pode ser conferido no blog do grupo Insikt

WhatsApp:
Há uma vulnerabilidade de dia zero que foi explorada em ataques altamente direcionados contra usuários da Apple. Rastreada como CVE-2025-55177 (pontuação CVSS de 8,0), o bug é descrito como uma autorização incompleta de mensagens de sincronização de dispositivos vinculados. Segundo a plataforma de mensagens, o problema teria sido explorado em combinação com uma vulnerabilidade de nível de sistema operacional em plataformas Apple (CVE-2025-43300) e que fora corrigida em 20 de agosto.

Windows:
A Microsoft lançou a atualização cumulativa de pré-visualização KB5064081 para o Windows 11 24H2, que inclui trinta e seis novos recursos ou alterações, com muitos sendo implementados gradualmente. Você pode instalar a atualização KB5064081 abrindo Configurações, clicando em Windows Update e, em seguida, em "Verificar Atualizações". Essas mudanças incluem novos recursos do Recall e uma nova maneira de exibir o uso da CPU no Gerenciador de Tarefas.

Destaques pelo mundo

Europa:
Um avião transportando a presidente da Comissão Europeia, Ursula von der Leyen, com destino à Bulgária, teve que realizar uma aterrissagem manual após interrupções em seu sistema de GPS. A porta-voz da comissão, Arianne Podestà, confirmou os eventos, dizendo que o GPS sofreu um “jamming”. Ainda de acordo com Podestà, autoridades búlgaras atribuem a culpa das interrupções à Rússia, alertando que o jamming de GPS está cada vez mais comum no leste europeu, sobretudo em regiões próximas à Rússia. O comissário de Defesa e Espaço europeu, Andrius Kubilius, comentou o incidente em sua conta do X, acrescentando que “jamming e spoofing prejudicam a economia marítima, aérea e terrestre”. Cabe lembrar que a Europa, através da Agência de Segurança da Aviação (EASA), está planejando ações para mitigar os riscos de navegação global, como robustez na coordenação cívico-militar, desenvolvendo padrões de chamadas de rádio para lidar com interferência GNSS e controles mais rígidos em dispositivos de jamming. 

Amazon:
O grupo de inteligência de ameaças da Amazon anunciou que conseguiu parar campanhas maliciosas orquestradas pelo APT29 – o grupo cibercriminoso com ligações ao governo russo. De acordo com a Amazon, o ataque tratava-se de um “watering hole”, onde atacantes comprometem um site específico frequentemente visitado por um grupo específico de pessoas. No caso em tela, tratava-se de um site controlado pelos ofensores para enganar vítimas a permitirem dispositivos controlados pelos atacantes através do fluxo de autenticação de dispositivos da Microsoft. As táticas do APT29 incluíam randomização, codificação em base64, uso de cookies e rápidas mudanças de infraestrutura. A Amazon, em colaboração com a Cloudflare e a Microsoft, interrompeu as operações, isolou as instâncias EC2 afetadas e bloqueou os domínios maliciosos.

Jaguar & Land Rover:
A montadora britânica de carros de luxo informou na terça-feira que suas atividades de varejo e produção foram severamente interrompidas após um incidente de segurança cibernética. A interrupção agrava os problemas da JLR, após uma reportagem de julho afirmar que a empresa havia adiado o lançamento de seus modelos elétricos Range Rover e Jaguar para mais testes e para o aumento da demanda. A montadora é a mais recente empresa britânica a ser atingida por um incidente de segurança cibernética nos últimos meses, em meio a um aumento nos ataques cibernéticos e de ransomware em todo o mundo.

Quer saber mais? Siga-nos nas redes sociais: LinkedinInstagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!

Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!

Escrito por: Thaís Hudari Abib e Murilo Lopes
Arte: George Lopes e Anselmo Costa

Read more