A Sophos, uma das líderes em segurança digital, divulgou relatórios aprofundados conhecidos como “Pacific Rim”, nos quais documenta uma batalha contínua de cinco anos com agentes de ameaça chineses focados em comprometer dispositivos de rede globalmente. Esses hackers visam tanto dispositivos de empresas quanto os da própria Sophos, explorando falhas de segurança para realizar uma série de ataques complexos.
Ameaças Persistentes e Táticas Sofisticadas
A atividade dos hackers chineses, atribuída aos grupos Volt Typhoon, APT31 e APT41/Winnti, é marcada pelo uso de malware personalizado, projetado para monitorar comunicações de rede, capturar credenciais e transformar dispositivos de rede em pontos de retransmissão para ataques adicionais. Empresas renomadas, incluindo Fortinet, Barracuda, SonicWall, Check Point, D-Link, Cisco, Juniper, NetGear e a própria Sophos, estão entre as visadas por esses agentes de ameaças.
A Sophos vem estudando de perto as táticas empregadas por esses grupos, especialmente depois de ataques iniciais em 2018 na Cyberoam, uma subsidiária indiana da Sophos. Esse incidente marcou o início de uma série de ataques contra dispositivos de rede, utilizando vulnerabilidades de dia zero e brechas previamente desconhecidas para comprometer a segurança de sistemas de ponta.
Uma Rede de Pesquisa e Exploração de Vulnerabilidades
As investigações da Sophos sugerem que muitas dessas vulnerabilidades exploradas surgem de pesquisadores de segurança baseados na China, que compartilham suas descobertas não só com fornecedores, mas também com o governo chinês e com grupos de ameaças patrocinados pelo estado. Em particular, a Sophos observou conexões entre pesquisadores de recompensas por bugs e grupos de adversários rastreados, especialmente em torno de estabelecimentos educacionais em Chengdu. Essa comunidade colaborativa parece desempenhar um papel fundamental na descoberta e no compartilhamento de vulnerabilidades críticas.
Notícias Relacionadas
Contramedidas e Coleta de Inteligência da Sophos
Em resposta, a Sophos adotou uma postura ofensiva, implantando implantes personalizados em dispositivos comprometidos. Essas ações permitiram que a empresa monitorasse quase em tempo real os movimentos dos invasores. Em uma dessas operações, a equipe X-Ops da Sophos identificou e monitorou um dispositivo atribuído ao grupo Double Helix. Através desse monitoramento, observou-se o uso de um bootkit UEFI em um dispositivo de rede, evidenciando o alto nível de sofisticação dos ataques.
Relatórios Detalhados e Recomendações para Defesa
Os relatórios “Pacific Rim” oferecem uma linha do tempo dos ataques e orientações detalhadas sobre como empresas podem se proteger de ameaças similares. A Sophos recomenda que todas as organizações que utilizam dispositivos de rede de ponta revisem e aprimorem suas estratégias de defesa, adotando práticas de segurança que possam barrar tentativas de ataque. Para mais detalhes sobre a série “Pacific Rim”, é possível acessar o relatório completo aqui.
Essa extensa pesquisa da Sophos não só ilumina os riscos cibernéticos enfrentados por dispositivos de rede, mas também sublinha a importância de uma vigilância contínua e de colaborações entre setores para combater ameaças cibernéticas em escala global.
