Sign in Subscribe
Newsletter

PacificNews#213: A lion still has claws

PacificNews#213: A lion still has claws

Brickstorm: a ameaça chinesa excepcionalmente complexa

No campo das ameaças cibernéticas, atacantes costumam ser motivados por diferentes fatores em todo o mundo. Se você nos acompanha há algum tempo, sabe que existem muitos ofensores que são patrocinados por Estados-Nação e têm motivação, principalmente, em espionagem cibernética. E é exatamente disso que vamos falar sobre a nova campanha conhecida como “Brickstorm”, onde suspeita-se que atacantes chineses estão roubando propriedade intelectual, coletando inteligência em comércio e segurança nacional e tecendo teias para ataques mais avançados no ocidente – especificamente nos Estados Unidos. 

Tudo começou quando o Grupo de Inteligência de Ameaças da Google (GTIG) e a Mandiant descobriram uma “campanha excepcionalmente sofisticada, evasiva e complexa”. Num primeiro momento, os pesquisadores não souberam afirmar com precisão quem estava por trás destes ataques, mas entenderam os alvos: empresas de serviços legais, empresas que prestam serviços de segurança e, supostamente, agências federais americanas. O objetivo primário dos atacantes era roubar propriedade intelectual e encontrar vulnerabilidades zero-day sendo reportadas, a fim de poderem se antecipar para ataques futuros.

O que mais chamou a atenção na campanha observada foi o tempo de permanência em seu alvo: uma média de 400 dias. Para se ter ideia de comparação, outros grupos costumam ficar apenas dias ou semanas. Uma particularidade do Brickstorm é que, essencialmente, sua presença em diferentes sistemas sempre acontece com hashes diferentes, sendo muito difícil identificá-los. Não fosse o suficiente, os atacantes também são muito eficientes em “limpar” seus rastros onde quer que se instaurem. De acordo com o CTO da Mandiant, Charles Carmakal: “O Brickstorm pode não existir hoje em um ambiente da vítima, mas poderia estar lá há um ano e meio. Pode ter sido deletado em abril deste ano, em janeiro deste ano.”

Os objetivos do Brickstorm também não se limitam à coleta de inteligência, mas um ataque de longo prazo. Claro, seu alvo principal são vulnerabilidades zero-day descobertas por outras organizações, mas eles também conseguem roubar código-fonte das companhias que comprometem, buscando seus próprios 0-day. E, enquanto buscam estas falhas, o grupo coleta dados pessoais de diferentes indivíduos, estabelecendo uma teia de espionagem cibernética em seu alvo. 

Estamos falando de uma ameaça furtiva, persistente e em constante evolução. Para Carmakal, “o mais importante aqui é que, se você encontrar o Brickstorm, precisa realmente conduzir uma investigação empresarial muito minuciosa, porque o adversário que o distribui é extremamente avançado e conhecido por roubar propriedade intelectual de organizações. É uma campanha de ameaça muito, muito significativa e muito, muito difícil de se defender.”

Leia mais

Ciberataque à Jaguar Land Rover causa desastre na cadeia de suprimentos

Por quase três semanas, as linhas de produção da gigante automobilística Jaguar Land Rover (JLR) permaneceram paralisadas devido a um incidente cibernético, resultando na perda de cerca de 1.000 veículos produzidos por dia. Na sexta-feira, o governo do Reino Unido admitiu que o ataque impactou toda a “cadeia de suprimentos automotiva”.

A fabricação de veículos é um processo extremamente complexo. Centenas de empresas fornecem peças, materiais, eletrônicos e outros insumos para as montadoras, e essas extensas redes de fornecedores frequentemente operam no modelo just-in-time. Segundo Siraj Shaikh, professor de segurança de sistemas na Universidade de Swansea, “há uma cadeia de suprimentos cuidadosamente orquestrada. Assim que ocorre uma interrupção nesse tipo de instalação, todos os fornecedores são afetados”.

O incidente levou sindicatos a alertarem que milhares de empregos na cadeia de suprimentos da JLR correm risco, e que algumas empresas menores podem não resistir. Reportagens afirmam que a própria JLR pode estar perdendo até £50 milhões (US$67 milhões) por semana com a paralisação. Algumas companhias já teriam iniciado demissões.

Apesar dos esforços para restaurar os sistemas afetados, a empresa confirmou que a “pausa” na produção foi estendida até quarta-feira, 24 de setembro: “Tomamos esta decisão enquanto nossa investigação forense do incidente cibernético continua e enquanto consideramos as diferentes etapas do reinício controlado de nossas operações globais, o que levará tempo”.

Quase imediatamente após o ataque, um grupo no Telegram chamado Scattered Lapsus$ Hunters assumiu a autoria. O episódio reforça a fragilidade das cadeias de suprimentos diante de interrupções. “Precisamos migrar para uma cadeia de suprimentos e uma operação mais resilientes em áreas como a manufatura”, afirma Shaikh.

Enquanto isso, em um cenário em que vários países se preparam para possíveis conflitos, o ataque cibernético expõe como a produção pode ser facilmente interrompida. “Se esse é o efeito que criminosos podem ter em nossas cadeias de suprimentos, é bastante preocupante pensar no quão despreparados estamos para, digamos, um ataque mais coordenado e sustentado de um potencial adversário estatal”, afirma Jamie MacColl, pesquisador sênior do grupo de cibersegurança e tecnologia do think tank RUSI.

Leia mais

Patches & Updates

Cisco:
Atacantes cibernéticos estão explorando uma vulnerabilidade zero-day nos softwares Cisco IOS e IOS XE. De acordo com a fabricante, esta falha pode ser explorada através de pacotes SNMP customizados através de redes IPv4 ou IPv6, causando um buffer overflow no dispositivo. A falha, registrada como CVE-2025-20352, foi corrigida na nova versão dos softwares, mas, para administradores de sistemas que não podem atualizar seus dispositivos, a Cisco recomenda a limitação do acesso ao protocolo SNMP aos usuários confiáveis. Além desta falha de segurança, outras 13 vulnerabilidades foram corrigidas pela Cisco essa semana. 

Kali:
A distribuição Kali Linux lançou sua versão 2025.3, trazendo novas ferramentas, suportes ao Nexmon e melhorias no NetHunter. Entre as novas ferramentas, estão a ferramenta para auditoria web Caido e Caido-CLI; o modelo de linguagem da Google integrado ao terminal Gemini CLI e a ferramenta de pivoteamento ligolo-mp. Para começar a usar o Kali Linux 2025.3, você pode atualizar sua instalação existente, escolher uma plataforma ou baixar diretamente as imagens ISO para novas instalações e distribuições live. Para aqueles usando o Kali Linux em ambientes Windows através do WSL, recomendamos a atualização para o WSL2 para uma experiência aprimorada. 

Email:
A Libraesva corrigiu a CVE-2025-59689 (pontuação CVSS de 6,1) em sua plataforma integrada de segurança de e-mail. A falha afeta as versões 4.5 a 5.5 do seu ESG e é descrita como um problema de injeção de comando que pode levar à execução de comandos arbitrários como um usuário sem privilégios. As correções foram lançadas apenas para as versões 5.x do ESG, já que as 4.x foram descontinuadas. Os clientes que executam versões 4.x do ESG no local são aconselhados a atualizar manualmente para uma versão 5.x corrigida.

Destaques pelo mundo

PyPI:
A Python Software Foundation (PSF) está alertando seus usuários sobre novos ataques de phishing usando um site fraudulento se passando pelo Python Package Index, ou PyPI. De acordo com o comunicado, diversos usuários estão recebendo emails pedindo para que façam a verificação de suas contas em um domínio “pypi-mirror[.]org”. Ocorre que este domínio não é legítimo, nem tampouco de propriedade da PSF ou PyPI. Trata-se de um perigoso vetor de ataque, afinal, poderia levar a infecção de pacotes legítimos PyPI de uma maneira similar ao que aconteceu com o npm, escalando para um massivo ataque à cadeia de suprimentos. A PSF recomenda que todos que inseriram suas credenciais através do email recebido alterem a sua senha o mais rápido possível, além de fazer uma auditoria no histórico de segurança de suas contas. 

Aeroportos:
O recente ciberataque contra a empresa aeroespacial e de defesa Collins Aerospace, que causou interrupções significativas nos principais aeroportos da Europa, supostamente envolveu um ransomware conhecido como HardBit. A BBC noticiou no início desta semana que mais de mil computadores podem ter sido afetados e que a Collins encontrou os agentes de ameaça ainda dentro de sua rede após a reconstrução e reinicialização dos sistemas.

Neon:
O aplicativo número 2 na seção de Redes Sociais da App Store dos EUA é uma nova aplicação que oferece a gravação de suas chamadas telefônicas e o pagamento pelo áudio para que os dados possam ser vendidos a empresas de inteligência artificial. O site do Neon informa que a empresa paga 30 centavos por minuto quando você liga para outros usuários do Neon e até US$30 por dia, no máximo, para fazer chamadas para qualquer outra pessoa. O fato de tal aplicativo existir e ser permitido é um indicativo de quão longe a IA invadiu a vida dos usuários e áreas antes consideradas privadas.

Quer saber mais? Siga-nos nas redes sociais: LinkedinInstagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!

Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!

Escrito por: Thaís Hudari Abib e Murilo Lopes
Arte: George Lopes e Anselmo Costa

Read more