A Sophos divulgou o relatório “Pacific Rim”, que detalha operações de defesa e contra-ofensivas dos últimos cinco anos em adversários interligados, baseados na China e com alvo em dispositivos periféricos, incluindo os firewalls da Sophos. Nele, foi revelado que os criminosos usaram uma série de campanhas com novas explorações e malwares personalizados para incorporar recursos que realizam vigilância, sabotagem e ciberespionagem, bem como táticas, ferramentas e procedimentos (TTPs) sobrepostos com grupos conhecidos do Estado chinês, incluindo Volt Typhoon, APT31 e APT41.
Os adversários visam pequenas e grandes infraestruturas críticas e instituições governamentais, localizadas principalmente no Sul e Sudeste da Ásia, incluindo fornecedores de energia nuclear, o aeroporto de uma capital nacional, um hospital militar, o aparato de segurança estatal e ministérios do governo central.
Durante todo o Pacific Rim, o Sophos X-Ops, unidade de cibersegurança e inteligência de ameaças da companhia, trabalhou para neutralizar adversários e desenvolveu ações de defesa e contra-ofensivas. Depois da empresa responder com sucesso aos ataques iniciais, criminosos aumentaram seus esforços e trouxeram operadores mais experientes. Posteriormente, foi descoberto um vasto ecossistema de oponentes.
Desde 2020, a Sophos tem divulgado detalhes sobre campanhas relacionadas, como o Cloud Snooper e o Asnarök. Agora, a empresa está compartilhando a análise geral da investigação para aumentar a conscientização sobre a persistência dos adversários do Estado chinês e seu foco em comprometer dispositivos periféricos, sem atualização e em fim de vida (EOL), geralmente por meio de explorações de dia zero que estão criando para esses componentes.
A companhia também está incentivando todas as organizações a aplicarem urgentemente patches para vulnerabilidades descobertas em qualquer um de seus aparelhos conectados à internet e a migrarem todos os mais antigos e sem suporte para modelos atuais. Além disso, a organização atualiza regularmente todos os seus produtos com base em novas ameaças e indicadores de comprometimento (IoCs) para proteger seus clientes. Os usuários do Sophos Firewall estão protegidos por meio de hotfixes rápidos que agora são ativados por padrão.
“A realidade é que os dispositivos periféricos se tornaram alvos altamente atraentes para grupos chineses, à medida que procuram construir caixas de transmissão operacional (ORBs) para ofuscar e apoiar suas atividades. Os componentes de rede projetados para companhias são alvos naturais para esses fins, pois são poderosos, estão sempre ligados e têm conectividade constante”, afirma Ross McKerchar, CISO da Sophos.
Destaques do relatório
Em 4 de dezembro de 2018, um computador conectado a um monitor suspenso começou a escanear a rede da Sophos – aparentemente por conta própria – na sede da Cyberoam, na Índia. Na ocasião, a empresa encontrou uma carga útil que observava silenciosamente o tráfego de entrada especializado da internet na máquina que continha um novo tipo de backdoor e um rootkit complexo – o “Cloud Snooper”.
Em abril de 2020, depois de várias organizações relatarem uma interface de usuário apontando para um domínio com “Sophos” em seu nome, a verdadeira Sophos trabalhou com a polícia europeia, que rastreou e confiscou o servidor que os criminosos usaram para implementar cargas úteis maliciosas no que mais tarde foi apelidado de Asnarök. A companhia neutralizou o malware, que foi atribuído à China, assumindo o controle do canal de comando (C2). Isso também permitiu que uma onda planejada de ataques de botnet fosse neutralizada.
Depois do Asnarök, a Sophos avançou em suas operações de inteligência, criando um programa adicional de rastreamento de agentes de ameaças focado na identificação e interrupção de adversários que buscam explorar os dispositivos da companhia implementados em ambientes de clientes; o programa foi desenvolvido usando uma combinação de inteligência de código aberto, análise da Web, monitoramento de telemetria e inserções de kernel direcionados instalados nos dispositivos de pesquisa dos invasores.
Em seguida, os atacantes persistiram, aprimorando suas táticas e implementando malwares cada vez mais discretos. No entanto, usando seu programa de rastreamento de agentes de ameaças e recursos avançados de coleta de telemetria, a Sophos conseguiu se antecipar a vários ataques e obter uma cópia de um kit de inicialização UEFI e exploits personalizados antes que eles pudessem ser introduzidos em larga escala.
Alguns meses depois, a Sophos rastreou alguns dos ataques a um adversário que demonstrou ter vínculos com a China e com o Instituto de Pesquisa Double Helix, da Sichuan Silence Information Technology, na região de Chengdu, no país asiático.
Em março de 2022, um pesquisador de segurança anônimo relatou à Sophos uma vulnerabilidade de execução remota de código de dia zero, designada CVE-2022-1040, como parte do programa de recompensa por bugs da empresa. Uma investigação mais aprofundada revelou que essa CVE já estava sendo explorada em diversas operações, impedindo clientes de serem afetados. Assim, a Sophos determinou que a pessoa que relatou a exploração pode ter tido uma conexão com os criminosos. Essa foi a segunda vez que a organização recebeu uma “dica” em um momento suspeito sobre um golpe antes que ele fosse aplicado.
“Os recentes avisos da CISA deixam claro que os grupos chineses se tornaram uma ameaça constante à infraestrutura essencial de outros países. O que tendemos a esquecer é que as empresas de pequeno e médio porte, que formam a maioria da cadeia de suprimentos críticos, são alvos, pois geralmente são os elos fracos. O modus operandi dos cibercriminosos baseados na China é criar persistência de longo prazo e ataques complexos e ofuscados”, completa McKerchar.
Recomendações para equipes de defesa
As organizações devem esperar que todos os dispositivos conectados à internet sejam os principais alvos de adversários, especialmente em infraestruturas críticas. A Sophos incentiva organizações a tomar as seguintes medidas para fortalecer sua postura de segurança: Minimizar os serviços e dispositivos conectados à internet sempre que possível; Priorizar a aplicação de patches com urgência para dispositivos conectados à internet e manter seus monitoramentos; Permitir que hotfixes para dispositivos periféricos sejam aplicados automaticamente; Colaborar com as autoridades policiais, parceiros público-privados e governo para compartilhar e agir sobre IoCs relevantes; E criar um plano de como a organização lida com dispositivos EOL.
“Precisamos trabalhar de forma colaborativa entre os setores público e privado, as autoridades policiais e governamentais e o segmento de segurança, para compartilhar o que sabemos sobre essas operações. As organizações, os parceiros de canais e os provedores de serviços gerenciados (MSPs) precisam entender que esses dispositivos são os principais alvos dos cibercriminosos e devem garantir que eles sejam adequadamente protegidos e que os patches essenciais sejam aplicados assim que forem lançados”, conclui McKerchar.