A Check Point Research relata a detecção de uma recorrência em ataques cibernéticos direcionados a dispositivos de rede por grupos APT patrocinados pela China. A Microsoft emitiu um aviso alegando que hackers patrocinados pelo Estado chinês comprometeram a infraestrutura cibernética “crítica” em vários setores, incluindo órgãos governamentais e organizações de comunicação dos Estados Unidos.
Ataques à infraestrutura crítica dos Estados Unidos foram patrocinados pelo Estado chinês
Um ataque recente relatado pela Check Point Research (CPR), se refere ao grupo APT Camaro Dragon, patrocinado pelo Estado chinês, o qual direcionou diferentes ataques a entidades europeias de relações exteriores.
De acordo com uma extensa análise dos pesquisadores da CPR, esses ataques implantaram firmware malicioso adaptado para roteadores TP-Link, incluindo um backdoor personalizado chamado “Horse Shell” que permite aos atacantes manter acesso persistente, construir infraestrutura anônima e permitir movimento lateral entre redes comprometidas.
Agora, Estados Unidos, Austrália, Canadá, Nova Zelândia e Reino Unido, países membros da rede de inteligência Five Eyes, emitiram uma declaração conjunta “para destacar uma série recentemente descoberta de atividades de interesse associadas a um agente cibernético patrocinado pelo Estado da República Popular da China (RPC), também conhecido como Volt Typhoon”.
Como a Microsoft detalha em seu blog oficial, o Volt Typhoon está direcionando todo o tráfego de sua rede para seus alvos por meio de dispositivos de rede SOHO (Small Office Home Office) comprometidos, estendendo a eficácia a roteadores e outros produtos de fabricantes globais como ASUS, Cisco, D-Link, NETGEAR e Zyxel.
Dispositivos de rede em destaque novamente
Grupos APT chineses como o Volt Typhoon têm um histórico de campanhas sofisticadas de ciberespionagem. Sua principal motivação geralmente é a coleta de inteligência estratégica, interrupção direcionada ou simplesmente afirmar uma posição nas redes para operações futuras.
O recente comunicado aponta para uma variedade de técnicas empregadas por esses agentes de ameaças, mas de particular interesse é seu foco em técnicas de ataque Living off the Land (LotL, ou “viver da terra”, em tradução livre) e explorar dispositivos de rede, como roteadores.
Por que os dispositivos de borda são o foco dos ataques cibernéticos?
Nos últimos anos, tem havido um interesse crescente de grupos de ciberataques chineses em comprometer dispositivos de ponta, com o objetivo de construir infraestruturas de C&C resilientes e mais anônimas para ganhar uma posição nas redes de seus alvos.
Dispositivos de rede como roteadores, geralmente considerados o perímetro do ambiente digital de uma empresa, servem como o primeiro ponto de contato para comunicação baseada na Internet. Eles são responsáveis por rotear e gerenciar o tráfego de rede, legítimo e potencialmente malicioso. Ao comprometer esses dispositivos, os atacantes podem misturar seu tráfego com comunicações legítimas, tornando a detecção significativamente mais difícil. Esses dispositivos, quando reconfigurados ou comprometidos, também permitem que atacantes criem túneis de comunicação pela rede, anonimizando efetivamente seu tráfego e evitando métodos de detecção tradicionais.
Em vez de usar malware, que pode ser detectado por muitos sistemas de segurança modernos, esse grupo aproveita as ferramentas de gerenciamento de rede integradas, como wmic, ntdsutil, netsh e PowerShell, reduzindo assim sua pegada ambiental. Além disso, esse método permite que suas atividades maliciosas passem por outras tarefas administrativas benignas, tornando difícil para os profissionais de segurança cibernética identificar os atacantes entre usuários legítimos.
Essas técnicas também permitem que o grupo APT mantenha a persistência nas redes infectadas. Os dispositivos de rede Compromise of Small Office/Home Office (SOHO) podem ser usados como infraestrutura intermediária para ocultar sua verdadeira origem e manter o controle sobre uma rede mesmo que outros elementos de sua operação sejam descobertos e removidos, levando as vítimas a acreditar que a ameaça foi removida.
Proteção da rede
A descoberta de recentes ataques de espionagem destaca a importância de tomar medidas de proteção contra ataques semelhantes. Aqui estão algumas recomendações para prevenção, detecção e proteção dos especialistas da Check Point Software:
Atualizações de software: Atualizar regularmente o firmware e o software de roteadores e outros dispositivos é crucial para evitar vulnerabilidades que os atacantes podem explorar.
Patches atualizados: Manter os computadores atualizados e aplicar patches de segurança, especialmente aqueles classificados como críticos, pode ajudar a limitar a vulnerabilidade de uma organização a ataques de ransomware, pois esses patches geralmente são ignorados ou demoram muito para oferecer a proteção necessária.
Credenciais padrão: Altere as credenciais de login padrão de qualquer dispositivo conectado à Internet para senhas mais fortes e use a autenticação de múltiplos fatores sempre que possível. Os atacantes geralmente verificam a Internet em busca de dispositivos que ainda usam credenciais padrão ou fracas.
A prevenção contra ameaças é crucial: As soluções de segurança de rede, que forneçam prevenção avançada contra ameaças e proteção de rede em tempo real, são fundamentais contra ataques sofisticados como os usados pelo grupo APT Camaro Dragon. Isso inclui proteção contra explorações, malware e outras ameaças avançadas, pois a solução pode identificar e mapear automaticamente os dispositivos IoT e avaliar o risco, impedindo o acesso não autorizado de e para dispositivos IoT/OT com perfil e segmentação de confiança zero (Zero Trust) e bloqueia ataques contra dispositivos IoT.
