.png)
.png)
.png)
.png)
.
Exclusivo Espiões patrocinados pelo estado chinês foram vistos dentro da rede de uma empresa global de engenharia, tendo obtido acesso inicial usando as credenciais padrão de um portal de administração em um servidor IBM AIX.
Em entrevista exclusiva com O RegistroO diretor de pesquisa de segurança da Binary Defense, John Dwyer, disse que os bisbilhoteiros cibernéticos comprometeram primeiro um dos três servidores AIX não gerenciados da vítima em março e permaneceram dentro do ambiente de TI do fabricante sediado nos EUA por quatro meses enquanto vasculhavam em busca de mais caixas para confiscar.
É um conto que deve ser um aviso para aqueles com máquinas há muito esquecidas ou quase esquecidas conectadas às suas redes; aqueles com implantações de TI sombra; e aqueles com equipamentos não gerenciados. Enquanto o resto do seu ambiente é protegido por qualquer detecção de ameaças que você tenha em vigor, esses serviços legados são pontos de partida perfeitos para malfeitores.
Esta empresa em particular, que Dwyer se recusou a nomear, fabrica componentes para organizações aeroespaciais públicas e privadas e outros setores críticos, incluindo petróleo e gás. A intrusão foi atribuída a uma equipe não identificada da República Popular da China, cuja motivação parece ser espionagem e roubo de projetos.
Tentativas de interferir nos produtos estão acontecendo cada vez mais cedo na cadeia de suprimentos…
Vale ressaltar que o governo federal emitiu vários alertas de segurança neste ano sobre as equipes de espionagem de Pequim, incluindo o APT40 e o Volt Typhoon, que foi acusado de invadir redes americanas em preparação para ataques cibernéticos destrutivos.
Depois de descobrir os agentes da China dentro de sua rede em agosto, o fabricante alertou as agências policiais locais e federais e trabalhou com autoridades de segurança cibernética do governo em atribuição e mitigação, fomos informados. A Binary Defense também foi chamada para investigar.
A Agência de Segurança Cibernética e de Infraestrutura do governo dos EUA não quis comentar, e o FBI não respondeu imediatamente. O Registroperguntas.
Antes de serem capturados e posteriormente expulsos da rede, os intrusos chineses carregaram um shell da web e estabeleceram acesso persistente, dando-lhes acesso total e remoto à rede de TI — colocando os espiões em uma posição privilegiada para possível roubo de propriedade intelectual e manipulação da cadeia de suprimentos.
Se um componente comprometido sai da cadeia de suprimentos e entra nas máquinas de produção, quem estiver usando aquele equipamento ou veículo acabará sentindo o impacto quando o componente falhar, ficar descontrolado ou apresentar problemas.
“O lado assustador disso é: com nossa cadeia de suprimentos, temos uma cadeia de risco assumida, onde quem está consumindo o produto final – seja o governo, o Departamento de Defesa dos EUA, sistemas escolares – assume todos os riscos de todas as partes interconectadas da cadeia de suprimentos”, disse Dwyer. O Registro.
Além disso, ele acrescentou, as nações adversárias estão bem cientes disso, “e os ataques parecem estar continuamente mudando para a esquerda”. Ou seja, as tentativas de interferir nos produtos estão acontecendo cada vez mais cedo na cadeia de suprimentos, afetando cada vez mais vítimas e estando mais profundamente enraizadas nos sistemas.
Invadir uma rede classificada para roubar designs ou causar problemas não é super fácil. “Mas posso entrar em uma parte da cadeia de suprimentos em um centro de fabricação que não esteja sujeito aos mesmos padrões e atingir minhas metas e objetivos?”, perguntou Dwyer.
A resposta, claro, é sim.
Três dos servidores do ambiente de desenvolvimento AIX da vítima foram expostos desprotegidos à internet aberta, de acordo com a Binary Defense. Um deles, pelo menos, estava executando um portal de administração do Apache Axis com credenciais de administrador padrão, o que deu aos invasores acesso total ao sistema legado. O servidor não era compatível com as ferramentas de monitoramento de segurança da organização, o que é parte do motivo pelo qual os defensores da rede levaram meses para detectar atividades maliciosas nos computadores da empresa, nos disseram.
Tudo isso, de acordo com Dwyer, equivale a “um erro h