Nos últimos dias, 13 países emitiram um alerta conjunto sobre uma sofisticada campanha de ciberespionagem em nível global, destacando a atuação do grupo APT Salt Typhoon, vinculado à China. A operação tem como alvo principal vulnerabilidades em dispositivos de rede de grandes fabricantes, incluindo Cisco, Ivanti e Palo Alto Networks, afetando centenas de organizações em setores críticos.
O objetivo desta análise é detalhar como o Salt Typhoon tem explorado falhas em equipamentos de borda para obter acesso persistente a redes corporativas e governamentais, quais técnicas são usadas após a invasão e o impacto global dessa ameaça. Entender o modus operandi do grupo é essencial para profissionais de TI, administradores de rede e entusiastas de segurança da informação que buscam proteger suas infraestruturas digitais.
A operação representa um exemplo de espionagem digital persistente, com foco em coleta de inteligência e monitoramento de comunicações estratégicas, principalmente em setores de telecomunicações, governo e transporte. A ameaça evidencia a importância de manter sistemas de rede atualizados e monitorados constantemente para evitar comprometimentos de longo prazo.
O que é o Salt Typhoon e quais são seus objetivos?
O Salt Typhoon é classificado como um grupo de Ameaça Persistente Avançada (APT) com ligações comprovadas ao governo da China. Diferente de cibercriminosos motivados por lucro, o foco do grupo é a espionagem cibernética, visando a coleta de informações estratégicas e confidenciais de instituições públicas e privadas.
Entre os principais setores visados estão telecomunicações, governo, transporte e infraestrutura militar, áreas que oferecem acesso a dados sensíveis e potencial para monitoramento de comunicações estratégicas. A escolha desses alvos demonstra o caráter de longo prazo das operações do grupo, priorizando acesso contínuo e informação de alto valor.
A porta de entrada: vulnerabilidades em equipamentos de borda
Para iniciar seus ataques, o Salt Typhoon explora falhas de segurança em dispositivos de borda de rede, como roteadores, firewalls e sistemas de gerenciamento remoto. Esses dispositivos representam a primeira linha de defesa das organizações e, quando comprometidos, permitem que os invasores acessem a infraestrutura interna de forma discreta.
Entre os fabricantes afetados estão Cisco, Ivanti e Palo Alto Networks, com várias CVE documentadas que permitem execução remota de código ou elevação de privilégios. A exploração dessas vulnerabilidades possibilita que o grupo instale ferramentas de espionagem, crie usuários ocultos e mantenha persistência sem disparar alertas imediatos.
As táticas pós-invasão: persistência e movimentação lateral
Após garantir o acesso inicial, o Salt Typhoon utiliza uma combinação de técnicas avançadas para permanecer na rede e expandir seu controle:
- Túneis GRE: São utilizados para criar canais de comunicação criptografados entre o dispositivo comprometido e os servidores do grupo. Esses túneis permitem que o Salt Typhoon transfira dados sensíveis sem ser detectado, mantendo o acesso persistente às redes-alvo.
- Captura de credenciais TACACS+: A equipe do grupo monitora o tráfego de protocolos de autenticação, como TACACS+, para roubar credenciais de administradores de rede, ampliando sua capacidade de movimentação lateral e controle sobre os sistemas.
- Modificação de configurações e ACLs: O grupo altera Listas de Controle de Acesso (ACLs) e cria usuários administrativos ocultos, garantindo que mesmo se algumas portas forem corrigidas, o acesso permaneça ativo.
Essas técnicas permitem que o Salt Typhoon opere silenciosamente, coletando informações de forma contínua e mantendo a vantagem estratégica em redes críticas.
O impacto global e a resposta internacional
A campanha do Salt Typhoon já atingiu mais de 600 organizações globalmente, com um impacto significativo nos Estados Unidos e em outros países aliados. O alerta emitido conjuntamente por 13 nações evidencia a gravidade da ameaça e a necessidade de cooperação internacional para mitigar riscos de espionagem em larga escala.
O foco em provedores de telecomunicações é estratégico: ao controlar equipamentos de borda desses serviços, o grupo consegue monitorar comunicações sensíveis, rastrear alvos de interesse e até influenciar operações críticas. Esse tipo de ataque reforça a vulnerabilidade das infraestruturas críticas a atores estatais sofisticados.
Conclusão: a nova era da espionagem digital
O Salt Typhoon representa um ato sofisticado de ciberespionagem estatal, explorando vulnerabilidades de infraestrutura de rede para coletar inteligência em larga escala. Sua atuação demonstra que a segurança de dispositivos de borda é crítica para proteger dados sensíveis e manter a integridade de redes corporativas e governamentais.
Profissionais de TI e administradores de rede devem revisar suas configurações, aplicar patches de segurança imediatamente e monitorar continuamente os sistemas em busca de atividades suspeitas, como túneis GRE não autorizados ou alterações em ACLs. A vigilância proativa é essencial para mitigar o risco de infiltrações persistentes e proteger informações estratégicas contra ameaças avançadas como o Salt Typhoon.
