Um grupo de hackers chineses conhecido como Velvet Ant comprometeu a infraestrutura crítica de uma grande organização, mantendo acesso por uma década. A operação, chamada de ‘Operation Highland’, começou em 2016, quando os atacantes exploraram sistemas vulneráveis expostos à internet antes de se infiltrar em uma rede isolada, sem conexão direta com a internet. A intrusão foi caracterizada pela instalação de um shell reverso modificado e um proxy SOCKS5, permitindo que os hackers se conectassem a sistemas internos. Além disso, eles substituíram módulos de autenticação do Linux por versões maliciosas, coletando credenciais de usuários e monitorando atividades administrativas. A complexidade da limpeza da rede comprometida foi elevada, pois a remoção dos componentes alterados poderia causar interrupções operacionais. Especialistas recomendam que as organizações tratem componentes de autenticação como ativos críticos e implementem medidas de segurança robustas, como autenticação multifatorial e monitoramento contínuo. A operação destaca a necessidade de vigilância constante e a importância de um plano de recuperação offline para mitigar riscos futuros.
Fonte: https://www.bleepingcomputer.com/news/security/chinese-hackers-hijack-auth-flow-spy-on-isolated-network-for-a-decade/
🚨BR DEFENSE CENTER: SECURITY BRIEFING
13/06/2026 • Risco: CRITICO
ATAQUE
Hackers chineses mantêm controle por 10 anos em rede crítica
RESUMO EXECUTIVO
A operação Velvet Ant exemplifica uma ameaça persistente que pode comprometer a segurança de sistemas críticos. A modificação de componentes de autenticação e a coleta de credenciais destacam a necessidade de vigilância e proteção robusta em ambientes sensíveis.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras significativas devido a interrupções operacionais e roubo de dados.
Operacional
Acesso prolongado e coleta de credenciais, comprometendo a segurança da rede.
Setores vulneráveis
['Setores de infraestrutura crítica, tecnologia da informação']
📊 INDICADORES CHAVE
10 anos de acesso não detectado
Indicador
9 variantes distintas de módulos PAM maliciosos identificados
Contexto BR
3 anos de operação indetectada em dispositivos F5 BIG-IP
Urgência
⚡ AÇÕES IMEDIATAS
1
Auditar sistemas de autenticação e monitorar logs de acesso.
2
Implementar autenticação multifatorial e reforçar a segurança em componentes críticos.
3
Monitorar continuamente alterações não autorizadas em módulos de autenticação e sistemas operacionais.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a possibilidade de ataques prolongados que comprometem a autenticação e a segurança operacional.
⚖️ COMPLIANCE
Implicações legais e de compliance com a LGPD, especialmente em relação à proteção de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
