Pesquisadores da empresa Sygnia publicaram um relatório descrevendo um ataque sofisticado contra uma grande organização, realizado por um ator de ameaças identificado como sendo chinês e batizado de Velvet Ant. O ator da ameaça manteve persistência na rede da organização por três anos, enquanto conduzia espionagem cibernética.
Veja isso
Grupo USDoD ressurge com suposto vazamento do PC chinês
MITRE compartilha detalhes de hack por grupo ligado à China
O relatório da Sygnia explica: “O ator da ameaça alcançou uma persistência notável ao estabelecer e manter vários pontos de apoio no ambiente da empresa vítima. Um dos mecanismos utilizados para persistência foi um dispositivo F5 BIG-IP herdado, que foi exposto à Internet e que o ator da ameaça aproveitou como um servidor de Comando e Controle interno.” Os pesquisadores observam que o dispositivo F5 comprometido estava “executando um sistema operacional desatualizado e vulnerável”.
Depois que um ponto de apoio foi descoberto e corrigido, o agente da ameaça mudou rapidamente para outro, demonstrando agilidade e adaptabilidade para evitar a detecção. Ele explorou vários pontos de entrada na infraestrutura de rede da vítima, indicando uma compreensão abrangente do ambiente do alvo.
O incidente, segundo os pesquisadores, destaca a importância de se estabelecer estratégias de defesa resilientes contra ameaças sofisticadas – especialmente aquelas representadas por grupos patrocinados pelo Estado: “Uma abordagem holística para mitigar essas ameaças combina o monitoramento contínuo com mecanismos de resposta proativos – incluindo buscas periódicas e sistemáticas de ameaças – juntamente com controles de tráfego rigorosos e práticas de fortalecimento do sistema para dispositivos legados e voltados para o público. Ao adotar esta abordagem, as organizações podem melhorar a sua capacidade de detectar, dissuadir e neutralizar a ameaça persistente apresentada por grupos patrocinados pelo Estado”.
