Agente cibernético do FBI: Salt Typhoon hackeou quase todos os americanos

 (theregister.com)
1 pontos por GN⁺ 2025-09-01 | 1 comentários | Compartilhar no WhatsApp
  • O grupo de hackers Salt Typhoon infiltrou redes de telecomunicações dos EUA por anos e coletou em massa informações sensíveis de milhões de pessoas
  • Este ataque foi uma operação de espionagem em escala sem precedentes, com americanos visados indiscriminadamente
  • Empresas de apoio do Salt Typhoon, ligadas ao governo chinês, comprometeram entidades em mais de 80 países, e cerca de 200 organizações americanas foram afetadas
  • Como resultado do ataque, houve rastreamento de localização de milhões de usuários de celular, monitoramento do tráfego de internet e até interceptação de algumas ligações telefônicas
  • O FBI avalia que ameaças cibernéticas ainda mais sofisticadas continuarão aumentando e alerta para a necessidade de reforçar a segurança

Visão geral da campanha de espionagem Salt Typhoon

  • Foi confirmado pelo FBI dos EUA que o grupo de hackers apoiado pelo governo chinês chamado Salt Typhoon infiltrou, durante anos, grandes redes de telecomunicações americanas e coletou em larga escala dados pessoais de muitos americanos
  • Em entrevista à imprensa, o diretor-assistente de cibersegurança do FBI, Michael Machtinger, mencionou a possibilidade de que este ataque de espionagem tenha roubado informações de quase todos os americanos
  • Antes, havia a percepção de que pessoas sem informações sensíveis não seriam alvos, mas o caso Salt Typhoon mostrou que qualquer pessoa pode se tornar alvo de um ciberataque

Escopo do ataque e responsáveis

  • As atividades de ciberespionagem do Salt Typhoon começaram pelo menos em 2019 e foram descobertas pelo governo dos EUA no outono de 2023
  • Além dos EUA, agências governamentais de 12 países emitiram um alerta conjunto sobre a gravidade deste ataque
  • O alcance da invasão se expandiu para além de 9 grandes operadoras de telecomunicações dos EUA e de redes governamentais, atingindo instituições em mais de 80 países
  • Cerca de 200 organizações americanas foram afetadas, incluindo grandes operadoras como Verizon e AT&T
  • Entre as empresas apontadas como envolvidas estão Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology e Sichuan Zhixin Ruijie Network Technology
    • Essas empresas fornecem soluções cibernéticas ao Ministério da Segurança do Estado da China e ao Exército de Libertação Popular

Método de ataque e tipos de danos

"O que a China está fazendo por meio desses intermediários vai muito além do nível normal da indústria de ciberespionagem e é um comportamento imprudente e perigoso"

  • Machtinger avaliou o caso como uma grave violação de ciberespionagem sem precedentes nos EUA
  • O Salt Typhoon, com seleção massiva e indiscriminada de alvos, interceptou dados de geolocalização de milhões de usuários de celular, tráfego de internet e até o conteúdo de algumas ligações telefônicas
  • O alcance das vítimas inclui não apenas cidadãos comuns, mas também mais de 100 altos funcionários de governos presidenciais atuais e anteriores
    • Alguns veículos de imprensa relataram que o presidente Donald Trump e o vice-presidente JD Vance também foram alvos
  • Em especial, figuras de alto escalão sofreram violações mais profundas, incluindo interceptação do conteúdo real das comunicações

Ameaças cibernéticas semelhantes vindas da China

  • Além do Salt Typhoon, o grupo Volt Typhoon hackeou centenas de roteadores antigos para construir uma botnet e acessar redes de infraestrutura crítica dos EUA
    • Mais tarde, foi confirmado que o objetivo era preparar ataques cibernéticos destrutivos
  • O grupo Silk Typhoon atacou fornecedores de TI e nuvem por mais de uma década, roubando dados de diversos setores, como governo, tecnologia, educação e jurídico

Outras ameaças cibernéticas globais

  • Machtinger destacou que, além da China, Rússia, Irã e Coreia do Norte, assim como grupos de cibercrime e ransomware nacionais e estrangeiros, seguem realizando ataques diariamente
  • Espera-se que esses atores adotem métodos de ataque cada vez mais sofisticados
  • Ele enfatizou a necessidade de medidas ativas de cibersegurança, como aumentar a conscientização em segurança, manter sistemas atualizados e substituir equipamentos obsoletos

Leituras relacionadas

1 comentários

 
GN⁺ 2025-09-01
Comentários do Hacker News

  • A comunidade de segurança vinha alertando que, se a interceptação legal (Lawful Access) fosse automatizada de forma fácil, o lado malicioso inevitavelmente invadiria a rede
    Agora a China está usando sistemas enfraquecidos pela CALEA para coletar dados de rede de todos os EUA
    Vendo casos passados como a espionagem da NSA no backbone do Google, a Room 641A, MAINWAY, Poindexter e TIA, e a Palantir, os EUA também nunca foram exceção
    A NSA originalmente fazia defesa e ataque, mas já faz décadas que virou um grupo focado só em atacar, e quem achou que só os EUA poderiam fazer esse tipo de coisa foi ingênuo demais

    • Uma porta com fechadura só pode ser aberta por quem tem a chave...
      Mas também dá para arrombar a fechadura sem chave, levantar a porta, tirar as dobradiças, quebrar a porta, passar por baixo ou por cima dela, enganar quem tem a chave para abrir, e há muitas outras formas se você tiver imaginação

    • Fico curioso sobre como, na prática, isso foi comprometido
      Meu palpite é que ou um fornecedor de software compatível com CALEA foi invadido, ou um fornecedor de Mediator Device usado por várias operadoras foi atacado
      O MD (Mediator device) é um equipamento de software responsável por captura de fluxos (pedidos de escuta) e gestão de evidências pcap
      Em geral, o MD ativa portas (r)span em equipamentos de rede via polling SNMP, absorve todos os dados e os armazena
      Não há muita informação técnica disponível, então fico querendo saber qual fornecedor foi afetado e qual equipamento foi comprometido
      Para uma explicação mais detalhada sobre LI (Lawful Intercept), veja aqui

    • Muitas pessoas que trabalhavam na NSA agora estão em empresas privadas de segurança como a NSO Group
      Assusta pensar que as coisas chegaram a esse ponto, mas vendo o nível dos salários que eles recebem, eu também pensaria duas vezes se me fizessem a proposta
      Se quiser bastidores do setor, recomendo o livro de Nicole Perlroth, 'This Is How They Tell Me the World Ends'
      Muita coisa aconteceu depois da publicação, mas ainda é uma boa referência para entender o ambiente

    • Talvez essa decisão absurda exista porque as pessoas no poder têm mais medo dos próprios cidadãos do que de ameaças externas

    • São tolos com senso de superioridade moral
      Não é que tenham esquecido operações ofensivas; talvez nunca tenham sabido que isso acontecia, ou simplesmente nunca se importaram

  • Eu já tive experiência escrevendo a especificação de interceptação legal para nós GGSN de 3G
    É história antiga, mas naquela época a especificação era feita de modo que nem o sistema de gestão de rede deixasse registro da interceptação
    Então a operadora não tinha como saber se uma interceptação estava em andamento, e o órgão de aplicação da lei emitia diretamente a ordem de interceptação pelo console de LI
    Na época, era possível interceptar até 3% do tráfego total, e havia casos em que nem a operadora, nem o alvo, sabiam da interceptação
    Não é que sistemas de interceptação legal sejam especialmente fáceis de invadir, mas, uma vez comprometidos, é muito difícil detectar se estão sendo abusados
    É por isso que ninguém consegue ter certeza de quando e como a invasão começou

    • Parece perigoso demais que o operador de rede não possa ver absolutamente nenhum log de auditoria sobre interceptação legal
      Se alguém invadir, parece que ninguém vai perceber

  • Esse é o resultado real de instalar backdoors governamentais obrigatórios na infraestrutura de rede
    É difícil acreditar que a segurança de uma infraestrutura tão crítica tenha sido tão fraca
    Depois do hack da OPM e do fracasso da CIA em gerenciar seus drop sites online, a incompetência do governo em segurança já nem surpreende mais

    • Estou pensando seriamente em simplesmente não usar número de telefone
      A segurança é fraca demais, e o número de telefone é usado como meio de identificação quase no nível do número de seguridade social, embora na prática não seja algo estritamente necessário

    • Agressores de altíssimo nível com apoio estatal conseguem invadir praticamente qualquer sistema mesmo sem backdoor, graças à capacidade técnica, aos recursos e à persistência
      Não dá para culpar apenas a existência incondicional de backdoors; precisamos de resiliência cibernética muito mais forte e de capacidade defensiva muito melhor
      Vale ler o relatório recente do Atlantic Council sobre como os EUA devem responder ao sistema chinês de coleta de vulnerabilidades em escala estatal
      Link do relatório

    • Computadores nunca poderão ser 100% seguros e, especialmente em nível estatal, o acesso físico ao hardware é fácil, então no fim segurança é uma questão de dinheiro; os zeros só continuam aumentando

  • No caso do Salt Typhoon, de forma rara, embora tenha se tornado amplamente conhecido em 2024, a operação ainda não foi totalmente contida e continua em andamento
    A maioria dos casos vira lição compartilhada em análises posteriores, mas aqui a rede ainda continua dominada pelos atacantes e os dados seguem vazando
    Artigo relacionado

  • O comunicado oficial da CISA pode ser visto aqui

    • Dizem que Doge e MAGA cortaram 30% da equipe da agência (CISA)
      Justo agora, quando cibersegurança e segurança de infraestrutura são mais importantes do que nunca, mandar toda a burocracia embora é mesmo muito oportuno(?)
      Link da matéria relacionada

    • Link direto para o alerta oficial do governo: veja aqui

  • Houve uma fala dizendo que “a China, por meio dessas ações, está se envolvendo em um comportamento imprudente e perigoso que foge dos padrões normais de espionagem”, e fico me perguntando o que exatamente seriam os ‘padrões’ da espionagem

    • Vendo como as agências de inteligência dos EUA coletam comunicações globais com PRISM, Upstream etc.
      acho que o ‘padrão’ aqui significa que, até agora, só os EUA podiam fazer esse tipo de coisa
      Agora a China virou uma concorrente no mesmo nível

    • Parece que estão falando do ‘padrão’ segundo o qual só o governo dos EUA pode fazer vigilância ilegal em massa contra sua própria população
      A reação à China fazer isso soa como “quem esses caras pensam que são?”

    • Acho que estão falando de indiscriminate targeting, ou seja, atacar indiscriminadamente sem distinguir alvos
      O vice-diretor cibernético do FBI disse que “a China agora entrou em uma era em que mesmo pessoas que não trabalham em áreas sensíveis não podem mais ter certeza de que não serão alvos”

    • Eu nem sabia que espionagem tinha normas ou algum tipo de livro de regras
      Sempre achei que a única regra era “não ser pego”
      Mas posso estar por fora

    • No fim, parece ser só uma regra mole, que existe apenas na cabeça das pessoas

  • Gostaria de saber se, além do governo, há outras fontes confiáveis sobre essa reportagem
    Parece o tipo de incidente que poderia perfeitamente acontecer, mas com o histórico de mentiras exageradas
    fica difícil confiar só no que o governo diz agora, e uma fonte terceirizada menos partidária pareceria mais convincente

    • A Verizon diz que políticos específicos foram alvos
      Link relacionado

    • Um amigo meu da área de segurança, na Austrália, diz que a China já tem praticamente tudo sobre dados dos EUA

  • O governo dos EUA só vai continuar ampliando a vigilância daqui para frente

  • Segundo a Casa Branca e o FBI, hackers chineses atacaram indiscriminadamente, rastrearam a localização do celular de milhões de pessoas, monitoraram tráfego de internet e, em alguns casos, até gravaram ligações
    Entre as vítimas estavam o ex-presidente Donald Trump e o vice-presidente JD Vance
    Eu imaginei que essa vigilância tivesse sido feita por conexão direta com torres ou infraestrutura, mas vendo a página da Wikipedia, parece que o caminho real foi hackear servidores
    Fico me perguntando se algo como servidores da AT&T foi invadido
    Também penso se existe algum jeito de evitar que meus dados sejam levados em um caso assim
    Mesmo usando VPN, se pegarem informação de localização por triangulação, parece não haver saída a menos que o celular fique totalmente desligado
    Fonte - metodologia do Salt Typhoon

    • Nesses casos, a única forma de reduzir a exposição dos seus dados é nunca usar seu número de telefone para nada, configurar o SIM só para dados e trocá-lo/rotacioná-lo com frequência

    • Isso também reforça como regulações sobre venda e corretagem de dados, como o GDPR, pelo menos ajudam a evitar o pior cenário
      Mesmo que esse hack em si pareça ter vindo do lado invadido
      a estrutura da indústria já é problemática, porque a maior parte desses dados já pode ser comprada legalmente em mercados nada ‘cinzentos’
      Houve até jornalista que comprou dados públicos de localização e usou isso para encontrar funcionários de agências de inteligência
      Mesmo que se venda menos, ainda há um limite enquanto esses dados ficarem armazenados em lugares fáceis de hackear

    • Tem a parte de que o presidente Trump e o vice-presidente JD Vance também estavam entre as vítimas
      Teria sido engraçado se o jornalista tivesse pedido um comentário da Angela Merkel

  • Sobre isso, há também uma matéria dizendo que Israel também esteve envolvido em escutas nas telecomunicações dos EUA
    O governo de Israel também estaria em posição de acessar redes dos EUA pelo mesmo método usado pela China