Ciberespiões chineses atacam governos com backdoor mais avançado

Ciberespiões chineses atacam governos com backdoor mais avançado
Ciberespiões chineses atacam governos com backdoor mais avançado

Pesquisadores de segurança descobriram o Daxin, um backdoor perigoso que pode ter sido criado por chineses com a finalidade de espionar outos países. De acordo com os pesquisadores, esse backdoor consegue se implantar mesmo em redes corporativas reforçadas que apresentam recursos avançados de detecção de ameaças. Então, os ciberespiões chineses atacam governos com backdoor mais avançado.

De acordo com um relatório técnico publicado pela equipe Threat Hunter da Symantec, o Daxin é um dos backdoors de origem chinesa mais avançados já vistos.

Um ponto de diferenciação no Daxin é sua forma, que é um driver de kernel do Windows, uma escolha atípica no cenário de malware. Sua furtividade vem de seus recursos avançados de comunicação, que misturam sua troca de dados com o tráfego regular da Internet.

O Daxin é, sem dúvida, o malware mais avançado que os pesquisadores da Symantec viram usado por um ator ligado à China, disse a Symantec em um novo relatório.

Considerando seus recursos e a natureza de seus ataques implantados, o Daxin parece ser otimizado para uso contra alvos protegidos, permitindo que os invasores se aprofundem na rede de um alvo e extraiam dados sem levantar suspeitas.

Ciberespiões chineses atacam governos com backdoor mais avançado. Ele se esconde no tráfego de rede legítimo

Os backdoors fornecem aos agentes de ameaças acesso remoto a um sistema de computador comprometido. Assim, possibilita que eles roubem dados, executem comandos ou baixem e instalem outros malwares.

Como essas ferramentas são normalmente usadas para roubar informações de redes protegidas ou comprometer ainda mais um dispositivo, elas precisam envolver alguma forma de criptografia ou ofuscação de transferência de dados para evitar o disparo de alarmes nas ferramentas de monitoramento de tráfego de rede.

Daxin faz isso monitorando o tráfego de rede em um dispositivo para padrões específicos. Uma vez que esses padrões são detectados, ele irá sequestrar a conexão TCP legítima e usá-la para se comunicar com o servidor de comando e controle.

Ao sequestrar as comunicações TCP, o malware Daxin pode ocultar comunicações maliciosas no que é percebido como tráfego legítimo e, assim, permanecer indetectável.

O uso de conexões TCP sequestradas pela Daxin oferece um alto grau de sigilo para suas comunicações e ajuda a estabelecer conectividade em redes com regras rígidas de firewall. Também pode reduzir o risco de descoberta por analistas de SOC monitorando anomalias de rede, explica o relatório da Symantec.

Isso essencialmente abre um canal de comunicação criptografado para transmitir ou roubar dados, tudo feito por meio de um túnel TCP aparentemente inócuo.

A funcionalidade integrada do Daxin pode ser aumentada pela implantação de componentes adicionais no computador infectado. A Daxin fornece um mecanismo de comunicação dedicado para esses componentes implementando um dispositivo chamado \\.\Tcp4, explicou a Symantec.

Os componentes maliciosos podem abrir este dispositivo para se registrarem para comunicação. Cada um dos componentes pode associar um identificador de serviço de 32 bits ao identificador \\.\Tcp4 aberto. O invasor remoto pode se comunicar com componentes selecionados especificando um serviço correspondente identificado ao enviar mensagens de um determinado tipo.

Outros aspectos do Daxin

O Daxin também se destaca por sua capacidade de estabelecer caminhos de comunicação complexos entre vários computadores infectados ao mesmo tempo, usando um único comando para um conjunto de nós.

Daxin estabelecendo canais de comunicação em redes comprometidas (Symantec)

Isso permite que os agentes de ameaças restabeleçam rapidamente conexões e canais de comunicação criptografados em redes bem protegidas.

Ao mesmo tempo, enquanto os nós estão ativos e servem como pontos de retransmissão, as chances de o tráfego malicioso ser marcado como suspeito são mínimas.

Ciberespionagem chinesa

Os analistas de ameaças da Symantec encontraram evidências ligando Daxin ao grupo de hackers chinês Slug (também conhecido como Owlproxy).

O backdoor específico tem sido usado ativamente em ataques desde pelo menos novembro de 2019, enquanto os pesquisadores detectaram sinais de sua implantação novamente em maio de 2020 e julho de 2020.

Os ataques mais recentes envolvendo Daxin foram observados em novembro de 2021, visando empresas de telecomunicações, transporte e manufatura.

Vale a pena notar que a Symantec afirma que o malware foi testado pela primeira vez em 2013, já apresentando as técnicas avançadas de prevenção de detecção que vemos na versão de hoje.

No entanto, nenhum ataque que envolveu Daxin foi observado até mais tarde, embora seja provável que os hackers furtivos simplesmente tenham permanecido indetectados até 2019.

Via BleepingComputer