Os últimos ataques patrocinados pelo Estado chinês a espiões de grandes infraestruturas dos EUA são uma continuação da tendência, relata a Check Point Research

Os últimos ataques patrocinados pelo Estado chinês a espiões de grandes infraestruturas dos EUA são uma continuação da tendência, relata a Check Point Research

- A Microsoft emitiu um aviso que os piratas informáticos patrocinados pelo Estado chinês comprometeram infraestruturas cibernéticas dos mais variados setores, incluindo organizações governamentais e de comunicações.

Recentemente, no nosso último relatório, descobrimos que, ao longo dos últimos meses, a Check Point Research (CPR), equipa de investigação da Check Point Software, líder global de soluções de cibersegurança, acompanhou de perto uma série de ataques direcionados a entidades europeias de negócios estrangeiros. Estas campanhas foram associadas a um grupo APT chinês patrocinado pelo Estado, que seguimos como Camaro Dragon, e que partilha semelhanças com atividades anteriormente relatadas conduzidas por agentes de ameaças chineses patrocinados pelo Estado, nomeadamente o Mustang Panda.

"Os Estados Unidos e as autoridades internacionais de cibersegurança estão a emitir este Cybersecurity Advisory (CSA) conjunto para realçar um conjunto de atividades de interesse recentemente descoberto, associado a um ciberator patrocinado pelo Estado da República Popular da China (RPC), também conhecido por Volt Typhoon", refere um comunicado divulgado pelas autoridades dos EUA, Austrália, Canadá, Nova Zelândia e Reino Unido - países que constituem a rede de informação Five Eyes.

Neste aviso, e num blogpost da Microsoft, é descrito que o Volt Typhoon faz proxy de todo o seu tráfego, para os seus alvos através de dispositivos de rede SOHO comprometidos (incluindo routers). Muitos dos dispositivos, que incluem os fabricados pela ASUS, Cisco, D-Link, NETGEAR e Zyxel, permitem que o proprietário exponha interfaces de gestão HTTP ou SSH à Internet.

Dispositivos de rede sob ameaça: Não é a primeira vez

Os ataques provenientes de grupos de ciberespionagem sedeados na China não são novidade para a Check Point Research e para a comunidade de cibersegurança. Os grupos APT chineses, como o Volt Typhoon, têm um historial de campanhas de ciberespionagem sofisticadas. A sua principal motivação é frequentemente a recolha de informações estratégicas, a perturbação direcionada ou simplesmente a afirmação de um ponto de apoio nas redes para operações futuras. O recente aviso aponta uma variedade de técnicas utilizadas por estes agentes de ameaças, mas de particular interesse é o seu enfoque em "viver da terra" e a exploração de dispositivos de rede como os routers.

A nossa análise exaustiva destes ataques revelou um implante de firmware malicioso concebido para os routers TP-Link. O implante apresenta vários componentes maliciosos, incluindo uma backdoor personalizada denominada "Horse Shell" que permite aos atacantes manter um acesso persistente, construir uma infraestrutura anónima e permitir o movimento em redes comprometidas.

Os EUA não são o único alvo de espionagem

Em março de 2023, revelámos os ataques de espionagem de origem chinesa contra entidades governamentais do sudeste asiático, em particular nações com reivindicações territoriais semelhantes ou projetos de infraestruturas estratégicas, como o Vietname, a Tailândia e a Indonésia.

Em julho de 2021, o CERT-FR relatou uma grande campanha conduzida pelo ator de ameaças APT31, afiliado à China. Descobriram que o agente utilizou uma rede de routers comprometidos orquestrados com malware que apelidaram de "Pakdoor".

Num aviso anteriror da CISA de 2021, foram enumeradas as técnicas comuns utilizadas pelas APTs patrocinadas pela China. Entre elas, mencionam o facto de os atacantes escolherem routers vulneráveis como parte da sua infraestrutura operacional para evitar a deteção e a atividade de comando e controlo do anfitrião.

Porque é que estes dispositivos de topo são um ponto fulcral da sua estratégia de ataque?

Nos últimos anos, temos assistido a um interesse crescente dos agentes de ameaças chineses em comprometer os dispositivos de topo, com o objetivo de criar infraestruturas de C&C resilientes e mais anónimas e de conquistar uma posição em determinadas redes.

Os dispositivos de rede, como os routers, frequentemente considerados o perímetro do património digital de uma organização, funcionam como o primeiro ponto de contacto para a comunicação baseada na Internet. São responsáveis pelo controlo e gestão do tráfego de rede, tanto legítimo como potencialmente malicioso. Ao comprometerem estes dispositivos, os atacantes podem combinar o seu tráfego com comunicações legítimas, tornando a deteção significativamente mais difícil. Estes dispositivos, quando reconfigurados ou comprometidos, também permitem que os atacantes façam túneis de comunicações através da rede, anonimizando efetivamente o seu tráfego e evitando os métodos de deteção tradicionais.

Esta estratégia também complementa a abordagem "living off the land" do Volt Typhoon. Em vez de utilizar malware, que pode ser detetado por muitos sistemas de segurança modernos, estes atores utilizam ferramentas de administração de rede incorporadas, como wmic, ntdsutil, netsh e PowerShell. As atividades maliciosas perdem-se no mar de tarefas administrativas benignas, tornando difícil para os defensores identificar os atacantes no meio de utilizadores legítimos.

Essas técnicas também permitem que o grupo APT mantenha a persistência na rede. O ataque a dispositivos de rede SOHO (Small Office/Home Office) pode ser utilizado como infraestrutura intermédia para ocultar a sua verdadeira origem e manter o controlo sobre uma rede, mesmo que outros elementos da sua operação sejam descobertos e removidos. Um ponto de apoio oculto é uma ferramenta poderosa para uma APT, permitindo uma segunda vaga de ataques ou a extração de dados, mesmo depois de uma organização acreditar que a ameaça foi eliminada.

Natureza independente dos ataques ao firmware

A descoberta da natureza independete do firmware dos componentes implantados indica que uma vasta gama de dispositivos e fornecedores pode estar em risco.

Além disso, a nossa descoberta da natureza independente do firmware dos componentes implantados indica que uma vasta gama de dispositivos e fornecedores pode estar em risco. Esperamos que a nossa investigação contribua para melhorar a postura de segurança das organizações e dos indivíduos. Entretanto, lembre-se de manter os seus dispositivos de rede atualizados e protegidos e tenha cuidado com qualquer atividade suspeita na sua rede.

Proteger a sua rede

A descoberta de recentes ataques de espionagem realça a importância de tomar medidas de proteção contra ataques semelhantes. Eis algumas recomendações para a deteção e proteção:

· Atualizações de software

A atualização regular do firmware e do software dos routers e de outros dispositivos é crucial para evitar vulnerabilidades que os atacantes possam explorar.

· Patches atualizados

Manter os computadores atualizados e aplicar correções de segurança, especialmente as rotuladas como críticas, pode ajudar a limitar a vulnerabilidade de uma organização a ataques de ransomware, uma vez que essas correções são normalmente ignoradas ou demoram demasiado tempo a oferecer a proteção necessária.

· Credenciais predefinidas

Altere as credenciais de início de sessão predefinidas de qualquer dispositivo ligado à Internet para palavras-passe mais fortes e utilize a autenticação multifator sempre que possível. Os atacantes procuram frequentemente na Internet dispositivos que ainda utilizam credenciais predefinidas ou fracas.

· A prevenção de ameaças é crucial

As soluções de segurança de rede da Check Point fornecem prevenção avançada de ameaças e proteção de rede em tempo real contra ataques sofisticados como os utilizados pelo grupo Camaro Dragon APT. Isto inclui proteção contra exploits, malware e outras ameaças avançadas. O Quantum IoT Protect da Check Point identifica e mapeia automaticamente os dispositivos IoT e avalia o risco, impede o acesso não autorizado a e de dispositivos IoT/OT com perfil e segmentação de confiança zero, e bloqueia ataques contra dispositivos IoT.

Os fabricantes podem fazer mais para proteger os seus dispositivos contra malware e ciberataques. Novas regulamentações nos EUA e na Europa exigem que os vendedores e fabricantes garantam que os dispositivos não representam riscos para os utilizadores e que incluam funcionalidades de segurança no dispositivo.

O Check Point IoT Embedded com Nano Agent® fornece proteção em tempo de execução no dispositivo, permitindo dispositivos ligados com segurança de firmware incorporada. O Nano Agent® é um pacote personalizado que fornece as principais capacidades de segurança e impede a atividade maliciosa em routers, dispositivos de rede e outros dispositivos IoT. O Check Point IoT Nano Agent® tem capacidades avançadas de proteção de memória, deteção de anomalias e integridade do fluxo de controlo. Funciona dentro do dispositivo e serve como uma linha da frente para proteger os dispositivos IoT.