O grupo chinês Flax Typhoon criou uma rede que controlava milhares de dispositivos conectados, como câmaras, sistemas de gravação de vídeo e de armazenamento de informação, além de routers, com o objetivo de “espiar infraestruturas críticas nos EUA e no estrangeiro, desde empresas a organizações de media, universidades e agências governamentais”, avançou Christopher Wray, diretor do FBI , numa conferência de cibersegurança onde revelou que as autoridades americanas conseguiram tomar conta desta botnet.
“Ao trabalhar em colaboração com os nossos parceiros, executámos as operações autorizadas pelos tribunais para tomar controlo da infraestrutura da botnet (…) quando os criminosos se aperceberam do que estava a acontecer, tentaram migrar os bots para novos servidores e até realizaram um ataque [do tipo DDoS – Distributed Denial of Service] contra nós”. As declarações de Wray foram feitas durante a conferência Aspen Cyber Summit, mas o porta-voz do FBI não adiantou mais comentários quando questionado pelo Tech Crunch.
Na quarta-feira, o FBI, a Cyber National Mission Force e a National Security Agency publicaram um comunicado onde ligam uma rede de 260 mil aparelhos comprometidos ao governo chinês e explicam que a rede estava a ser usada para ocultar as operações dos hackers. A rede estaria a ser operada e controlada pelo Integrity Technology Group, que tem ligações à China e que será o nome ‘formal’ do grupo de hackers Flax Typhoon.
A botnet afetava dispositivos conectados com o Mirai, um malware desenhado para controlar grandes volumes de aparelhos. A ferramenta tornou-se código aberto em 2016, depois de um grupo de hackers a terem usado para lançar a maior vaga de ataques DDoS da altura.
Já o Flax Typhoon tinha uma base de dados de “mais de 1,2 milhões de aparelhos comprometidos, incluindo mais de 385 mil vítimas únicas dos EUA, quer já exploradas no passado ou a ser exploradas ativamente”, avança o Tech Crunch.
O grupo tem estado ativo desde 2021 e, segundo a Microsoft, já atacou “dezenas de organizações” em Taiwan. A ESET observou que este conjunto tem atacado vários servidores Microsoft Exchange naquele território, apontando para “várias organizações governamentais, mas também uma consultora, uma empresa que produz software de marcação de viagens, farmacêuticas e empresas de eletrónica”.
No passado, as autoridades ocidentais revelaram estar a seguir um grupo chamado Volt Typhoon, associado a atos de ciber sabotagem contra infraestruturas críticas dos EUA e que também foi associado à China. Na altura, Pequim disse que se tratava de um gangue especializado em ransomware e demarcou-se de qualquer responsabilidade.
