O Federal Bureau of Investigation (FBI) dos EUA procurou assistência do público em conexão com uma investigação envolvendo a violação de dispositivos de ponta e redes de computadores pertencentes a empresas e entidades governamentais.
“Um grupo de Ameaças Persistentes Avançadas supostamente criou e implantou malware (CVE-2020-12271) como parte de uma série generalizada de invasões indiscriminadas de computadores projetadas para exfiltrar dados confidenciais de firewalls em todo o mundo”, disse a agência.
“O FBI está buscando informações sobre as identidades dos indivíduos responsáveis por essas intrusões cibernéticas”.
O desenvolvimento surge na sequência de uma série de relatórios publicados pelo fornecedor de segurança cibernética Sophos, narrando um conjunto de campanhas entre 2018 e 2023 que exploraram os seus dispositivos de infraestrutura de ponta para implantar malware personalizado ou reaproveitá-los como proxies para evitar a detecção.
A atividade maliciosa, codinome Pacific Rim e projetada para conduzir vigilância, sabotagem e espionagem cibernética, foi atribuída a vários grupos patrocinados pelo Estado chinês, incluindo APT31, APT41 e Volt Storm. O primeiro ataque remonta ao remaining de 2018, quando um ataque cibernético teve como alvo a subsidiária indiana da Sophos, Cyberoam.
“Os adversários têm como alvo infra-estruturas críticas e instalações governamentais pequenas e grandes, principalmente no Sul e Sudeste Asiático, incluindo fornecedores de energia nuclear, um aeroporto da capital nacional, um hospital militar, aparelhos de segurança do Estado e ministérios do governo central”, disse Sophos.
Alguns dos ataques em massa subsequentes foram identificados como aproveitando múltiplas vulnerabilidades de dia zero nos firewalls Sophos – CVE-2020-12271, CVE-2020-15069, CVE-2020-29574, CVE-2022-1040 e CVE-2022- 3236 – para comprometer os dispositivos e entregar cargas tanto para o firmware do dispositivo quanto para aqueles localizados na rede LAN da organização.
“A partir de 2021, os adversários pareceram mudar o foco de ataques indiscriminados generalizados para ataques altamente direcionados, 'práticos no teclado' e de foco restrito contra entidades específicas: agências governamentais, infraestrutura crítica, organizações de pesquisa e desenvolvimento, prestadores de serviços de saúde, varejo, finanças organizações militares, militares e do setor público, principalmente na região da Ásia-Pacífico”, afirmou.
A partir de meados de 2022, os invasores teriam concentrado seus esforços em obter acesso mais profundo a organizações específicas, evitando a detecção e coletando mais informações executando comandos manualmente e implantando malware como Asnarök, Gh0st RAT e Pygmy Goat, um sofisticado backdoor cable. de fornecer acesso remoto persistente aos firewalls Sophos XG e provavelmente a outros dispositivos Linux.
“Embora não contenha nenhuma técnica nova, o Pygmy Goat é bastante sofisticado na forma como permite ao ator interagir com ele sob demanda, ao mesmo tempo que se mistura ao tráfego regular da rede”, disse o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC).
“O código em si é limpo, com funções curtas e bem estruturadas auxiliando na extensibilidade futura, e os erros são verificados por completo, sugerindo que foi escrito por um desenvolvedor ou desenvolvedores competentes.”
O backdoor, um novo rootkit que assume a forma de um objeto compartilhado (“libsophos.so”), foi entregue após a exploração do CVE-2022-1040. A utilização do rootkit foi observada entre março e abril de 2022 num dispositivo governamental e num parceiro tecnológico, e novamente em maio de 2022 numa máquina num hospital militar baseado na Ásia.
Foi atribuído a ser obra de um ator de ameaça chinês rastreado internamente pela Sophos como Tstark, que compartilha ligações com a Universidade de Ciência e Tecnologia Eletrônica da China (UESTC) em Chengdu.
Ele vem com a “capacidade de ouvir e responder a pacotes ICMP especialmente criados, que, se recebidos por um dispositivo infectado, abririam um proxy SOCKS ou uma conexão reversa de shell para um endereço IP da escolha do invasor”.
A Sophos disse que combateu as campanhas em seu estágio inicial, implantando um implante de kernel próprio em dispositivos pertencentes a agentes de ameaças chineses para realizar pesquisas de exploração maliciosa, incluindo máquinas pertencentes ao Instituto de Pesquisa Double Helix da Sichuan Silence Info Know-how, ganhando assim visibilidade sobre uma “exploração de execução remota de código anteriormente desconhecida e furtiva” em julho de 2020.
Uma análise de acompanhamento em agosto de 2020 levou à descoberta de uma vulnerabilidade de execução remota de código pós-autenticação de menor gravidade em um componente do sistema operacional, acrescentou a empresa.
Além disso, a empresa de propriedade de Thoma Bravo disse que observou um padrão de recebimento de relatórios de recompensas de bugs “simultaneamente altamente úteis, mas suspeitos” pelo menos duas vezes (CVE-2020-12271 e CVE-2022-1040) do que suspeita serem indivíduos com laços para instituições de pesquisa sediadas em Chengdu antes de serem usados maliciosamente.
As conclusões são significativas, sobretudo porque mostram que estão a ser realizadas actividades activas de investigação e desenvolvimento sobre vulnerabilidade na região de Sichuan, e depois transmitidas a vários grupos da linha da frente patrocinados pelo Estado chinês, com diferentes objectivos, capacidades e técnicas pós-exploração.
“Com a Pacific Rim, observamos (…) uma linha de montagem de desenvolvimento de exploração de dia zero associada a instituições educacionais em Sichuan, China”, disse Chester Wisniewski. “Estas explorações parecem ter sido partilhadas com atacantes patrocinados pelo Estado, o que faz sentido para um Estado-nação que exige tal partilha através das suas leis de divulgação de vulnerabilidades”.
O aumento da segmentação de dispositivos de rede de ponta também coincide com uma avaliação de ameaças do Centro Canadense de Segurança Cibernética (Centro Cibernético), que revelou que pelo menos 20 redes do governo canadense foram comprometidas por equipes de hackers patrocinadas pelo Estado chinês nos últimos quatro anos para avançar seu interesses estratégicos, económicos e diplomáticos.
Também acusou os actores chineses de ameaçarem o seu sector privado para obterem uma vantagem competitiva através da recolha de informações confidenciais e proprietárias, ao mesmo tempo que apoiavam missões de “repressão transnacional” que procuram atingir uigures, tibetanos, activistas pró-democracia e apoiantes da independência de Taiwan.
Os atores chineses de ameaças cibernéticas “comprometeram e mantiveram o acesso a múltiplas redes governamentais nos últimos cinco anos, coletando comunicações e outras informações valiosas”, afirmou. “Os atores da ameaça enviaram mensagens de e-mail com imagens de rastreamento aos destinatários para realizar o reconhecimento da rede.”
