- O Departamento de Segurança Interna diz que o Salt Typhoon acessou sistemas de guarda nacional
- Hackers estavam presentes entre março e dezembro de 2024
- O grupo roubou inteligência vital e informações pessoalmente identificáveis
Um ator de ameaças patrocinadas pelo Estado chinês conhecido como Typhoon de Salt estava à espreita na rede da Guarda Nacional do Exército dos EUA por nove meses, confirmou o governo dos EUA.
Opartamento de Segurança Interna (DHS) disse que os atacantes estavam presentes nas redes entre março e dezembro de 2024.
Durante esse período, o grupo roubou dados confidenciais de suas vítimas, incluindo credenciais do administrador, diagramas de tráfego de rede, mapas geográficos e informações pessoalmente identificáveis (PII) dos membros do serviço. Além disso, os invasores acessaram o tráfego de dados entre a rede do estado e todos os outros Estados dos EUA e pelo menos quatro territórios adicionais. Isso significa que eles também poderiam ter articulado para outras redes, comprometendo ainda mais metas governamentais e militares.
Typhoon sobre a América
Não foi discutido como a violação aconteceu, mas o DHS disse que o grupo era conhecido por explorar vulnerabilidades existentes (CVEs) nos roteadores da Cisco e hardware semelhante.
O Salt Typhoon é um conhecido ator de ameaças patrocinadas pelo Estado chinês, parte da organização mais ampla do “tufão” que inclui grupos como Typhoon de latão, Volt Typhoon e outros.
Essas organizações foram encarregadas de se infiltrar em diferentes organizações principais nos EUA, como organizações críticas de infraestrutura, empresas de comunicações, organizações governamentais, militares e de defesa e similares.
O objetivo da campanha era estar presente dentro das redes, as tensões entre os EUA e a China sobre Taiwan se transformam em uma guerra completa, dando-lhe a capacidade de interromper as redes e roubar a inteligência chave.
O Salt Typhoon está frequentemente na mídia – com ataques recentes contra artistas como AT&T, Verizon, Lumen, Charter, Windstream e Viasat, para citar alguns, muitas vezes abusando de roteadores Cisco não patches para obter acesso, antes de implantar malware personalizado, como Jumblepath e Ghostspider.
Via BleepingComputer
Fique conectado