Nº8 | Você não precisa que a espionagem chinesa te aponte o risco de não fazer o que deve ser feito
Na última quarta-feira de cinzas, a Microsoft documentou uma mudança na forma de atuação no grupo chinês Silk Typhoon. Segundo a empresa, a operação de espionagem tinha recentemente direcionado o seu foco para empresas de tecnologia, de modo se aproveitar da cadeia de suprimentos de que essas companhias fazem parte.
Muito se falou sobre o Silk Typhoon na imprensa no final do ano ano passado, junto com sua operação irmã, a Salt Typhoon. Eu procurei tratar desta última na edição de Nº 1 da TLP Black. Enquanto o Salt Typhoon atuava contra o setor de telecomunicações dos Estados Unidos, o Silk Typhoon foi observado com os dois pés dentro do Departamento do Tesouro do país.
Sob a perspectiva do atacante, estar na rede de empresas de tecnologia pode proporcionar uma visibilidade bastante privilegiada. Isso porque companhias como estas administram servidores e desenvolvem sistemas para organizações de todo o tipo. Elas possuem um elevado nível de acesso aos sistemas e servidores de agências do Estado, entidades de pesquisa, organizações não-governamentais, bancos, outras empresas de tecnologia… Ou seja, seria como estar no sistema de distribuição de água de uma grande cidade, podendo usar todo o poder que se tem sobre as máquinas e encanamentos para se alcançar as torneiras de um grande número de prédios e residências.
Para invadir essas redes, o Silk Typhoon costuma a usar credenciais de acesso previamente comprometidas e abusar de vulnerabilidades zero-day.
Credenciais de acesso, em sua maioria, na forma de logins e senhas, são roubadas e vazadas todos os dias, de modo que tanto criminosos quanto operações bancadas por governos, procuram estocar esse tipo de informação.
Credenciais vazadas podem ser muito úteis em ataques, pois o uso de outros métodos de autenticação confiáveis que permitam complementar a senha, o que chamamos de autenticação multifator, ainda não é algo completamente disseminado e também porque as pessoas são incorrigíveis (e muitas vezes preguiçosas) no trato com as senhas, usando mesma senha em vários serviços. De modo que a senha “ahEuT0Maluc0!” do engenheiro Cloelson Jones no sistema da farmácia em que ele compra seu Ozempic mensalmente (e reclama do preço) tem grandes chances de ser a mesma que ele usa para administrar uma máquina que distribui energia elétrica para milhões de habitantes de sua cidade.
Já o uso de zero-days é algo um pouco mais complicado. Trata-se descobrir vulnerabilidades em produtos de tecnologia antes que seus fabricantes saibam delas e se aproveitar dessa brecha pelo máximo de tempo possível.
Quando uma vulnerabilidade é descoberta pelo fabricante da tecnologia, isso não quer dizer que o problema foi sanado. Ainda é necessário criar uma correção, torná-la pública e que as pessoas e empresas que usam essas tecnologias atualizem o software com a nova versão. É comum ver empresas de todos os tamanhos falharem miseravelmente (por vários motivos) nessas atividades. O que ainda pode dar um bom tempo para o atacante manter sua operação funcionando.
Em janeiro, a Microsoft descobriu que o Silk Typhoon estava explorando uma vulnerabilidade deste tipo contra o produto Ivanti Pulse Connect VPN, muito usado por empresas de todo o mundo para estabelecer conexões criptografadas entre pessoas ou entre empresas. Esse é o tipo de tecnologia que interessa muito a esses grupos, um produto popular (cujo ataque pode ser replicado contra vários alvos) e cuja instalação fica na fronteira entre a rede interna da vítima e a Internet.
A falha foi catalogada como CVE-2025-0282 e ela é uma delícia em termos de vulnerabilidade, isso porque ela permite que um adversário consiga executar código remotamente, sem a necessidade de qualquer autenticação prévia. Ou seja, um atacante na China pode forçar o dispositivo alvo instalado na Finlândia a executar um código armazenado em um servidor na Colômbia sem que, pra isso, o Ivanti Pulse Connect VPN lhe obrigue a digitar um usuário e senha. Sabe-se lá quanto tempo esse problema permitiu a intrusão do Silk Typhoon, mas assim que foi notificada, a Ivanti trabalhou em uma correção para o problema, que foi publicada no dia 8 de janeiro.
O Silk Typhoon não está preparado somente para explorar essa vulnerabilidade em seus alvos, esta é apenas a recém-documentada como parte de seu arsenal. A Microsoft relacionou outras seis falhas sob exploração por este grupo: 4 delas no Microsoft Exchange para as quais há correções disponíveis desde o dia 2 de março de 2021 (links 1, 2, 3, e 4); uma de 2023 nos produtos NetScaler ADC e NetScaler Gateway da Citrix e uma descoberta no ano passado em firewalls da Palo Alto Networks.
Assim que cai dentro no ambiente, o grupo usa uma série de técnicas conhecidas e adaptadas às defesas de cada alvo para comprometer o Active Directory que é o principal serviço presente em redes Windows, por meio do qual os administradores controlam a rede. A partir dessa posição privilegiada, eles buscam expandir seu controle para os serviços em nuvem da organização alvo e assim ter o domínio de toda a rede, manipulando e extraindo dados de serviços comumente usados por empresas que adotam todo o pacote da Microsoft, tais como o OneDrive, o SharePoint e os dados nos servidores de e-mail.
O relatório da Microsoft oferece uma série de medidas para se proteger desses ataques. Eu não dispensaria nenhuma delas, mas reforço aqui a primeira da lista: “mantenha seus dispositivos expostos à internet completamente atualizados”.
A TLP Black de hoje não precisa chegar a nenhuma reflexão profunda para mostrar que a chave para dificultar o trabalho de um grupo como o Silk Typhoon é simplesmente fazer o que precisa ser feito. Digamos que, se sua rede fosse invadida hoje por meio de uma vulnerabilidade com correção disponível desde 2 de março 2021 estaríamos falando sobre 1469 dias que você teve para resolver um problema e falhou. Intolerável, não é?
No Horizonte
A Broadcom publicou patches de segurança para corrigir três falhas críticas nos produtos VMware ESXi, VMware Workstation e Fusion. As vulnerabilidades foram catalogadas como CVE-2025-22224, CVE-2025-22225 e CVE-2025-22226 e respectivamente permitem, dentre outras coisas, que um adversário com privilégios de admin local em uma dentre as VMs de um determinado host possa executar código arbitrário neste servidor que hospeda a VM o que pode abrir o caminho para se tomar o controle de todas as VMs dentro de um mesmo host.
É como se alguém com a chave de um hóspede de um hotel obtiveste o poder de abrir todos os quartos.
A fabricante afirma que as vulnerabilidades estão sendo exploradas nesse momento. Ainda não sabemos se por grupos criminosos ou bancados por governos.
O Google também corrigiu duas vulnerabilidades zero-day sendo exploradas por aí. Em meio ao último pacote de 43 vulnerabilidades corrigidas no Android, duas falhas nessas condições tiveram patches publicados: a primeira é a CVE-2024-50302, um bug identificado pela Anistia Internacional em ataques contra ativistas conduzidos por autoridades da Sérvia. A falha estava sendo abusada por meio do produto de invasão de celulares Cellebrite. Já a segunda vulnerabilidade zero-day recém-corrigida no Android é CVE-2024-43093, uma falha que permite escalar privilégios no aparelho.
Matérias recentes no The Guardian, The Record e Washington Post abordaram possíveis planos da administração Trump para aliviar (ou interromper) operações cibernéticas ofensivas e defensivas em que a Rússia é considerada como uma ameaça aos EUA.
Tal direcionamento teria surgido na CISA e no US Cyber Command. As agências negam.
Quem publicou uma boa análise sobre isso foi a Kim Zetter, a mesma do livro “Countdown to Zero Day”. Vale demais a leitura.
Link aleatório
Rinha de físicos. Nem bem a Microsoft divulgou o processador quântico Majorana 1 e as críticas surgiram entre físicos que desconfiam de sua capacidade.
Eu falei sobre esse brinquedo na última TLP Black, trata-se de um processador quântico baseado em “qubits topológicos”, algo menos suscetível a ruídos, que melhoraria sua tolerância a falhas e que supostamente tornaria o computador quântico uma realidade mais próxima do que a gente imaginava.
No entanto, o paper que descreve a tecnologia não passou pelo processo de peer review e tem lacunas teóricas que foram prontamente apontadas por físicos que estudam o assunto, os quais indicam que não seria possível ao processador fazer o que a Microsoft diz que ele faz. Os criadores do Majorana 1 afirmam que a falta informação no paper tem relação com a necessidade de proteção de direitos autorais e que, em breve, tudo será esclarecido.
“Hello darkness, my old friend. I've come to talk with you again”. A NASA desligou mais instrumentos científicos nas sondas Voyager 1 e 2 devido à rápida diminuição de suas reservas de energia. As naves, que deixaram o sistema solar, respectivamente em 2012 e 2018, estão a 25 e 21 bilhões de KMs de casa e já faz tempo que elas não funcionam com toda a sua capacidade.
Lançadas em 1977, as Voyagers 1 e 2 dependem de um sistema que gera eletricidade a partir do calor do plutônio em decaimento e elas perdem cerca de 4 watts de energia a cada ano.
Segundo boletim da NASA “Os engenheiros do Laboratório de Propulsão a Jato desligaram o experimento do subsistema de raios cósmicos a bordo da Voyager 1 em 25 de fevereiro e desligarão o instrumento de partículas carregadas de baixa energia da Voyager 2 em 24 de março. Três outros instrumentos científicos continuarão a operar em cada espaçonave. Os movimentos fazem parte de um esforço contínuo para gerenciar a diminuição gradual do fornecimento de energia das sondas gêmeas.”