Categoria: Inteligência do adversárioIndústria: ComunicaçõesPaís: ChinaFonte*: A1

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• AgainstTheWest tem como alvo o WeChat e o TikTok sob a Operação Renminbi.
• Mais de 2 bilhões de registros de usuários e arquivos de 790 GB vazaram.
• Instância do Alibaba Cloud explorada.

• Risco de alterações não autorizadas nas contas.
• Os dados vazados podem ser explorados para realizar ataques de engenharia social, phishing, roubos de identidade etc.

• Mantenha as senhas atualizadas regularmente.
• Use uma política forte de geração de senhas.
• Ative o MFA em contas on-line.

Análise e atribuição

Informações do Post

• CloudSEKda plataforma contextual de risco digital de IA XV Vigília tem monitorado ativamente as atividades do grupo de agentes de ameaças chamado AgainstTheWest, também operando sob o pseudônimo de BlueHornet ou APT49.
• O grupo tem como alvo entidades chinesas em sua campanha contínua intitulada Operação China/Operação Renminbi.
• Como atividade mais recente, o grupo violou 2,05 bilhões de registros dos aplicativos chineses de mensagens e compartilhamento de vídeos, como WeChat e TikTok.
• Os dados vazados continham informações do usuário e de pagamento.
• Ambas as entidades violadas usaram a instância do Alibaba Cloud para armazenar seu código-fonte de back-end e a mesma foi comprometida pelo grupo.

[caption id="attachment_21545" align="alignnone” width="1009"] O cerne da postagem do ator da ameaça no fórum [/caption]

Análise detalhada do incidente

• A instância do Alibaba Cloud usada pelas entidades comprometidas tinha uma senha fraca e servia como ponto de acesso inicial ao grupo.
• Depois de obter acesso à instância de armazenamento em nuvem, o grupo passou a fornecer atualizações ao vivo no Twitter.
• As amostras dos arquivos de dados atribuídos ao TikTok confirmam que as seguintes informações foram obtidas:
  • Informações do usuário
  • ID do Paypal
  • Endereços IP privados
  • Endereços de e-mail
  • Nome do destinatário da transação
• 11 horas depois de obter acesso, 1,37 bilhão de inscrições foram retiradas pelo grupo.
• Além disso, o grupo obteve acesso a um servidor Oracle contendo 34 GB de registros.
• O grupo mencionou que não venderia os dados violados, pois as entradas contêm informações de menores e idosos.
• O banco de dados do WeChat foi encontrado no mesmo banco de dados do TikTok.
• Não havia indicação anterior de que o TikTok e o WeChat estivessem compartilhando informações do usuário entre si.
• Deve-se observar que o WeChat é um aplicativo de mensagens de propriedade do governo e o TikTok afirma não compartilhar nenhuma informação do usuário com o governo.
• No momento em que escrevo este relatório de inteligência, o TikTok não reconheceu a violação.

Leia também Intranet da Uber comprometida por meio de engenharia social

Atividade e classificação do ator de ameaças

Perfil do ator de ameaçasAtivo desde outubro de 2021 Reputação alta (sem reclamações e reputação confiável) Status atualHistórico ativo envolvido em atacar a China e a Rússia para realizar violações e vender documentos/bancos de dados para obter ganhos financeiros.Classificação A1 (A: Confiável; 1: confirmada por fontes independentes)

Impacto e mitigação

ImpactoMitigação

• A violação de privacidade das contas do TikTok e do WeChat revelou falhas na postura de segurança.
• Os dados violados podem ser usados contra os indivíduos afetados para realizar:
  • Phishing/Smishing
  • Ataques de engenharia social
  • Roubo de identidade

• Ative medidas de segurança, como MFA e política de rotação de senhas.
• Baixe software de fontes de aplicativos confiáveis.
• Revele o mínimo de informações ao criar contas on-line.

Referências

• ^#Protocolo de semáforo
• *Fonte de inteligência e confiabilidade das informações
• Tópico do Twitter - Troy Hunt
• Perfil do ator ameaçador 'AgainstTheWest'

Leia também Mineradores de criptomoedas maliciosos comprometem data centers acadêmicos

Apêndice

[caption id="attachment_21546" align="alignnone” width="1379"] Registros analisados de vídeos do TikTok - que foram encontrados correspondendo aos vídeos na plataforma [/caption] [caption id="attachment_21547" align="alignnone” width="1999"] Registros de pagamento do Paypal, que foram recuperados como parte da amostra divulgada pela ATW [/caption] [caption id="attachment_21548" align="alignnone” width="1345"] Esta imagem foi compartilhada por AgainstTheWest, possivelmente indicando que parte do código-fonte violado também estava hospedado no GitHub [/caption] [caption id="attachment_21549" align="alignnone” width="856"] Essência do Github que fornece informações sobre os arquivos violados do WeChat [/caption]