Hackers Chineses Invadem a Guarda Nacional dos EUA em Grande Ciberataque

Um memorando confidencial do Departamento de Segurança Interna (DHS) revela que a rede de computadores da Guarda Nacional do Exército de um estado dos EUA foi infiltrada por um grupo de hackers ligado ao estado chinês, conhecido como “Salt Typhoon”.

O memorando, primeiro relatado pela NBC, foi obtido por meio de um pedido da Lei de Liberdade de Informação (FOIA) apresentado pela organização sem fins lucrativos de transparência em segurança nacional, Property of the People.

Ele ainda afirma que os hackers “comprometeram extensivamente a rede da Guarda Nacional do Exército de um estado dos EUA” por nove meses, de março a dezembro de 2024, e permaneceram indetectados. Essa violação marca uma das maiores campanhas de ciberespionagem contra a infraestrutura militar americana nos últimos tempos.

O Que É Salt Typhoon

Salt Typhoon é um ator de ameaça persistente avançada (ATP) acreditado como operado pela agência de inteligência do Ministério da Segurança do Estado da China (MSS). É conhecido por conduzir campanhas de ciberespionagem de alto perfil, particularmente contra os Estados Unidos. O grupo de hackers foca em reunir inteligência e obter acesso persistente a redes em setores como defesa, energia e comunicações.

O Que Foi Exposto Na Violação

Entre março e dezembro de 2024, o grupo de hackers exfiltrou mapas internos e diagramas de tráfego de rede, descrevendo fluxos de comunicação entre unidades da Guarda Nacional em todos os 50 estados e quatro territórios dos EUA.

Ele também roubou credenciais de administrador e 1.462 arquivos de configuração de rede com acesso a 70 entidades governamentais dos EUA e infraestrutura crítica abrangendo 12 setores—incluindo energia, comunicações, transporte, água e esgoto, que poderiam ser usados para invadir redes da Guarda Nacional e do governo em outros estados.

Além disso, informações pessoais identificáveis (PII) de membros do serviço e locais de pessoal de cibersegurança estadual em múltiplos estados também foram impactados.

“Entre março e dezembro de 2024, Salt Typhoon comprometeu extensivamente a rede da Guarda Nacional do Exército de um estado dos EUA e, entre outras coisas, coletou sua configuração de rede e seu tráfego de dados com as redes de seus homólogos em todos os outros estados dos EUA e em pelo menos quatro territórios dos EUA, de acordo com um relatório do DOD,” diz o memorando.

“Esses dados também incluíam as credenciais de administrador dessas redes e diagramas de rede—que poderiam ser usados para facilitar futuros hacks do Salt Typhoon dessas unidades.”

De acordo com o memorando, Salt Typhoon tem um histórico de uso de topologias de rede e dados de configuração roubados para invadir agências governamentais dos EUA e sistemas de infraestrutura crítica.

“Salt Typhoon já usou anteriormente arquivos de configuração de rede exfiltrados para permitir intrusões cibernéticas em outros lugares. Entre janeiro e março de 2024, Salt Typhoon exfiltrou arquivos de configuração associados a outras entidades governamentais dos EUA e infraestrutura crítica, incluindo pelo menos duas agências governamentais estaduais dos EUA. Pelo menos um desses arquivos posteriormente informou sua violação de um dispositivo vulnerável na rede de outra agência governamental dos EUA,” acrescentou o memorando.

Por Que Isso É Importante

Salt Typhoon não é novo—ele já invadiu grandes empresas de telecomunicações dos EUA, incluindo AT&T, Verizon e T-Mobile, predominantemente através de uma vulnerabilidade da Cisco, assim como sistemas de satélite como Viasat e outros provedores de serviços tanto nos EUA quanto internacionalmente.

Reação e Resposta do Governo

O Bureau da Guarda Nacional confirmou a violação, mas insiste que as missões não foram interrompidas. Uma investigação está em andamento para avaliar a extensão total da intrusão.

“Embora não possamos fornecer detalhes específicos sobre o ataque ou nossa resposta a ele, podemos dizer que este ataque não impediu a Guarda Nacional de cumprir as missões estaduais ou federais atribuídas, e que o NGB continua a investigar a intrusão para determinar seu escopo total,” disse um porta-voz do Bureau da Guarda Nacional.

Além disso, a CISA, DHS e o Pentágono estão coordenando esforços para conter a violação e estão considerando medidas de segurança aprimoradas, incluindo firewalls mais robustos, criptografia melhorada, controles de acesso mais rigorosos e uma implementação mais ampla da arquitetura Zero Trust.

Enquanto isso, um porta-voz da embaixada da China em Washington não negou a campanha de hacking, mas argumentou que os EUA não produziram provas concretas ligando a China aos ciberataques do Salt Typhoon.

“Os ciberataques são uma ameaça comum enfrentada por todos os países, incluindo a China,” disse o porta-voz, acrescentando que os EUA “não conseguiram produzir evidências conclusivas e confiáveis de que o ‘Salt Typhoon’ está ligado ao governo chinês.