Microsoft diz que equipe de hackers chinesa tem como alvo Taiwan

PorAJ Vicens

24 de agosto de 2023

Pesquisadores da Microsoft disseram na quinta-feira que um grupo de hackers com suspeitas ligações com o governo chinês está visando ativamente dezenas de organizações em Taiwan como parte de uma campanha de espionagem cibernética.

Flax Typhoon, nome que a Microsoft usa para descrever o grupo com sede na China, está trabalhando para obter e manter acesso de longo prazo principalmente a organizações taiwanesas, embora algumas vítimas tenham sido observadas no Sudeste Asiático, na América do Norte e na África, disse a empresa em um comunicado. postagem no blog quinta-feira. Os alvos do grupo incluem entidades governamentais, empresas de manufatura e empresas de tecnologia.

A notícia surge logo após a aprovação pelo governo Biden de um pacote de armas de US$ 500 milhões para Taiwan e de uma nova rodada de exercícios militares chineses perto da ilha. Há três meses, a Microsoft e uma coligação de agências de inteligência revelaram que hackers ligados à China tinham como alvo sistemas de telecomunicações em Guam como parte de uma operação que pode ter lançado as bases para cortar as comunicações entre os Estados Unidos e os seus activos militares na Ásia Oriental.

O relatório de quinta-feira da Microsoft descreve um ator bastante furtivo que usa quantidades mínimas de malware em suas operações e, em vez disso, depende de ferramentas já existentes nos sistemas das vítimas, “juntamente com algum software normalmente benigno”. Os investigadores da Microsoft não observaram o grupo a utilizar o seu acesso a sistemas taiwaneses para realizar operações adicionais, mas observaram que o grupo está a utilizar “técnicas que poderiam ser facilmente reutilizadas noutras operações fora da região e que beneficiariam de uma visibilidade mais ampla da indústria”.

“Embora a nossa visibilidade sobre estas ameaças nos tenha dado a capacidade de implementar detecções aos nossos clientes, a falta de visibilidade de outras partes da actividade do actor obrigou-nos a aumentar a sensibilização da comunidade para futuras investigações e protecções em todo o ecossistema de segurança”, afirmou a empresa. disse em seu blog.

O Flax Typhoon está ativo desde meados de 2021 e é conhecido por usar o web shell China Chopper, observaram os pesquisadores, que também tem sido usado pelo Hafnium, um grupo de hackers chinês apoiado pelo estado que usou com sucesso vários bugs de dia zero no Microsoft Exchange. Software de servidor como parte de uma campanha de espionagem revelada em março de 2021. Mais tarde naquele ano, o FBI invadiu os servidores das vítimas para remover o malware Hafnium.

Flax Typhoon também foi observado usando Metasploit, uma estrutura popular de testes de penetração; a ferramenta de escalonamento de privilégios Juicy Potato; Mimikatz, a ferramenta de exfiltração de dados; e o cliente de rede privada virtual (VPN) SoftEther, de acordo com a Microsoft.