A Check Point Research relata a detecção de uma recorrência em ataques cibernéticos direcionados a dispositivos de rede por grupos APT patrocinados pela China
Na última quarta-feira, dia 24 de maio, a Microsoft emitiu um aviso alegando que hackers patrocinados pelo Estado chinês comprometeram a infraestrutura cibernética “crítica” em vários setores, incluindo órgãos governamentais e organizações de comunicação.
Um ataque recente relatado pela Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies Ltd., se refere ao grupo APT Camaro Dragon, patrocinado pelo Estado chinês, o qual direcionou diferentes ataques a entidades europeias de relações exteriores.
De acordo com uma extensa análise dos pesquisadores da CPR, esses ataques implantaram firmware malicioso adaptado para roteadores TP-Link, incluindo um backdoor personalizado chamado “Horse Shell” que permite aos atacantes manter acesso persistente, construir infraestrutura anônima e permitir movimento lateral entre redes comprometidas.
Agora, Estados Unidos, Austrália, Canadá, Nova Zelândia e Reino Unido, países membros da rede de inteligência Five Eyes, emitiram uma declaração conjunta “para destacar uma série recentemente descoberta de atividades de interesse associadas a um agente cibernético patrocinado pelo Estado da República Popular da China (RPC), também conhecido como Volt Typhoon”.
Como a Microsoft detalha em seu blog oficial, o Volt Typhoon está direcionando todo o tráfego de sua rede para seus alvos por meio de dispositivos de rede SOHO (Small Office Home Office) comprometidos, estendendo a eficácia a roteadores e outros produtos de fabricantes globais como ASUS, Cisco, D-Link, NETGEAR e Zyxel. Por meio dessa vulnerabilidade, os cibercriminosos podem expor as interfaces de gerenciamento HTTP ou SSH.
Dispositivos de rede em destaque novamente
Os ataques originários de grupos de espionagem cibernética baseados na China não são novidade para a Check Point Research (CPR) e para a comunidade de segurança cibernética. Grupos APT chineses como o Volt Typhoon têm um histórico de campanhas sofisticadas de ciberespionagem. Sua principal motivação geralmente é a coleta de inteligência estratégica, interrupção direcionada ou simplesmente afirmar uma posição nas redes para operações futuras.
O recente comunicado aponta para uma variedade de técnicas empregadas por esses agentes de ameaças, mas de particular interesse é seu foco em técnicas de ataque Living off the Land (LotL, ou “viver da terra”, em tradução livre) e explorar dispositivos de rede, como roteadores.
No entanto, os Estados Unidos não são o único alvo da espionagem. Em um comunicado anterior da CISA (Cybersecurity and Infrastructure Security Agency), em 2021, eles listaram as técnicas comuns usadas pelos APTs patrocinados pela China. Entre eles estão mencionados os atacantes que visam roteadores vulneráveis como parte de sua infraestrutura operacional para evitar a detecção e hospedar atividades de comando e controle (C&C).
Também em 2021, o CERT-FR relatou uma grande campanha realizada pelo agente de ameaças APT31, afiliado à China. Eles descobriram que o atacante estava usando uma rede em malha de roteadores comprometidos orquestrada por um malware que eles apelidaram de “Pakdoor”.
Finalmente, em março de 2023, a Check Point Research revelou um foco de ataques de espionagem originários da China contra entidades governamentais no Sudeste Asiático, particularmente nações com reivindicações territoriais semelhantes ou projetos estratégicos de infraestrutura, como Vietnã, Tailândia e Indonésia.
Por que os dispositivos de borda são o foco dos ataques cibernéticos?
Nos últimos anos, tem havido um interesse crescente de grupos de ciberataques chineses em comprometer dispositivos de ponta, com o objetivo de construir infraestruturas de C&C resilientes e mais anônimas para ganhar uma posição nas redes de seus alvos.
Dispositivos de rede como roteadores, geralmente considerados o perímetro do ambiente digital de uma empresa, servem como o primeiro ponto de contato para comunicação baseada na Internet. Eles são responsáveis por rotear e gerenciar o tráfego de rede, legítimo e potencialmente malicioso. Ao comprometer esses dispositivos, os atacantes podem misturar seu tráfego com comunicações legítimas, tornando a detecção significativamente mais difícil. Esses dispositivos, quando reconfigurados ou comprometidos, também permitem que atacantes criem túneis de comunicação pela rede, anonimizando efetivamente seu tráfego e evitando métodos de detecção tradicionais.
Essa estratégia também complementa a abordagem de LotL (ou “viver da terra”) do Volt Typhoon. Em vez de usar malware, que pode ser detectado por muitos sistemas de segurança modernos, esse grupo aproveita as ferramentas de gerenciamento de rede integradas, como wmic, ntdsutil, netsh e PowerShell, reduzindo assim sua pegada ambiental. Além disso, esse método permite que suas atividades maliciosas passem por outras tarefas administrativas benignas, tornando difícil para os profissionais de segurança cibernética identificar os atacantes entre usuários legítimos.
Essas técnicas também permitem que o grupo APT mantenha a persistência nas redes infectadas. Os dispositivos de rede Compromise of Small Office/Home Office (SOHO) podem ser usados como infraestrutura intermediária para ocultar sua verdadeira origem e manter o controle sobre uma rede mesmo que outros elementos de sua operação sejam descobertos e removidos, levando as vítimas a acreditar que a ameaça foi removida.
“A descoberta da natureza independente de firmware dos componentes implantados indica que uma ampla gama de dispositivos e fornecedores pode estar em risco”, explica Itay Cohen, líder de pesquisa e inteligência de ameaças na Check Point Software. “O objetivo final de nossa pesquisa é contribuir para melhorar a postura de segurança de organizações e indivíduos. Enquanto isso, continuamos a recomendar aos usuários que mantenham todos os dispositivos de rede atualizados e seguros e permanecer atentos para qualquer atividade suspeita na rede.”
Proteção da rede
A descoberta de recentes ataques de espionagem destaca a importância de tomar medidas de proteção contra ataques semelhantes. Aqui estão algumas recomendações para prevenção, detecção e proteção dos especialistas da Check Point Software:
Atualizações de software
Atualizar regularmente o firmware e o software de roteadores e outros dispositivos é crucial para evitar vulnerabilidades que os atacantes podem explorar.
Patches atualizados
Manter os computadores atualizados e aplicar patches de segurança, especialmente aqueles classificados como críticos, pode ajudar a limitar a vulnerabilidade de uma organização a ataques de ransomware, pois esses patches geralmente são ignorados ou demoram muito para oferecer a proteção necessária.
Credenciais padrão
Altere as credenciais de login padrão de qualquer dispositivo conectado à Internet para senhas mais fortes e use a autenticação de múltiplos fatores sempre que possível. Os atacantes geralmente verificam a Internet em busca de dispositivos que ainda usam credenciais padrão ou fracas.
A prevenção contra ameaças é crucial
As soluções de segurança de rede, que forneçam prevenção avançada contra ameaças e proteção de rede em tempo real, são fundamentais contra ataques sofisticados como os usados pelo grupo APT Camaro Dragon. Isso inclui proteção contra explorações, malware e outras ameaças avançadas, pois a solução pode identificar e mapear automaticamente os dispositivos IoT e avaliar o risco, impedindo o acesso não autorizado de e para dispositivos IoT/OT com perfil e segmentação de confiança zero (Zero Trust) e bloqueia ataques contra dispositivos IoT.