O Departamento de Defesa dos Estados Unidos, Agência de Segurança e Infraestrutura (CISA) e o FBI acabam de fazer uma análise de um malware chamado Taidoor e acusam hackers chineses com apoio daquele país de serem os responsáveis.
O Taidoor, também rastreado por alguns como Taurus RAT, existe desde pelo menos 2008. Em 2012, a Trend Micro relatou que o malware havia sido usado em ataques direcionados a organizações governamentais em Taiwan. O Taidoor era usado na época por pelos atacantes para operar um shell em dispositivos comprometidos e baixar e fazer upload de arquivos.
Em 2013, a FireEye publicou um relatório sobre o Taidoor sendo usado em campanhas de espionagem cibernética destinadas a agências governamentais, grupos de inteligência e empresas, particularmente aquelas com interesse em Taiwan.
EUA acusam hackers chineses de criar o Taidoor Malware
Embora houvesse alguma evidência na época sugerindo que a China estava por trás dos ataques envolvendo Taidoor, o governo dos EUA agora declarou oficialmente que o malware, que ele descreve como um cavalo de Tróia de acesso remoto (RAT), é “usado por ciber atores do governo chinês. ”
O FBI tem alta confiança de que os atores do governo chinês estão usando variantes de malware em conjunto com servidores proxy para manter uma presença nas redes de vítimas e para explorar ainda mais a rede, diz o relatório.
O Comando Cibernético dos Estados Unidos enviou quatro amostras do Taidoor para o serviço VirusTotal do Google. Enquanto duas das amostras são atualmente detectadas por mais de 30 dos 59 mecanismos antimalware no VirusTotal, dois deles são detectados apenas por 9 mecanismos.
O relatório publicado pelas agências dos EUA inclui detalhes técnicos sobre como o malware funciona, além de informações que podem ser usadas pelas organizações para identificar e bloquear ataques envolvendo o Taidoor.
O USCYBERCOM começou a compartilhar amostras de malware com o setor de segurança cibernética em novembro de 2018. A maioria das amostras compartilhadas até o momento foi vinculada a hackers norte-coreanos e algumas foram atribuídas a grupos de hackers russos e iranianos. Parece que as amostras de Taidoor são as primeiras com indícios de participação chinesa a serem compartilhadas pela agência.
Security Week