Os ciberataques provenientes de grupos de ciberespionagem sedeados na China não são novidade para os investigadores da Check Point Research e para a comunidade de cibersegurança. A Check Point Research descreve que os grupos APT chineses, como o Volt Typhoon, têm um historial de campanhas de ciberespionagem sofisticadas. A principal motivação dos grupos chineses é frequentemente a recolha de informações estratégicas, a perturbação direcionada ou simplesmente a afirmação de um ponto de apoio nas redes para operações futuras.
Nos avisos das autoridades internacionais de cibersegurança e da Microsoft é descrito que o Volt Typhoon faz proxy de todo o seu tráfego, para os seus alvos através de dispositivos de rede SOHO comprometidos, incluindo routers. Muitos dos dispositivos, que incluem os fabricados pela ASUS, Cisco, D-Link, NETGEAR e Zyxel, permitem a exposição de interfaces de gestão HTTP ou SSH à Internet.
A Check Point Research esclareceu que o recente aviso aponta uma variedade de técnicas utilizadas por estes agentes de ameaças, mas de particular interesse é o seu enfoque em “viver da terra” e a exploração de dispositivos de rede como os routers.
Os investigadores indicaram que a análise exaustiva que desenvolveram sobre os ciberataques revelou um implante de firmware malicioso concebido para os routers TP-Link. O implante apresenta vários componentes maliciosos, incluindo uma backdoor personalizada denominada “Horse Shell” que permite aos atacantes manter um acesso persistente, construir uma infraestrutura anónima e permitir o movimento em redes comprometidas.
Em março de 2023, os investigadores revelaram os ataques de espionagem de origem chinesa contra entidades governamentais do sudeste asiático, em particular a países com reivindicações territoriais semelhantes ou projetos de infraestruturas estratégicas, como o Vietname, a Tailândia e a Indonésia.
Em julho de 2021, o CERT-FR relatou uma grande campanha conduzida pelo APT31, afiliado à China e foi descoberto que o agente utilizou uma rede de routers comprometidos orquestrados com malware que apelidaram de “Pakdoor“.
Num aviso anterior da CISA de 2021, foram enumeradas as técnicas comuns utilizadas pelas APTs patrocinadas pela China. Entre elas, mencionam o facto de os atacantes escolherem routers vulneráveis como parte da sua infraestrutura operacional para evitar a deteção e a atividade de comando e controlo do anfitrião.
Nos últimos anos, temos assistido a um interesse crescente dos agentes de ameaças chineses em comprometer os dispositivos de topo, com o objetivo de criar infraestruturas de C&C resilientes e mais anónimas e de conquistar uma posição em determinadas redes.
Os dispositivos de rede, como os routers, são responsáveis pelo controlo e gestão do tráfego de rede, tanto legítimo como potencialmente malicioso, que ao serem comprometidos os atacantes podem combinar o seu tráfego com comunicações legítimas, tornando a deteção significativamente mais difícil. Estes dispositivos, quando reconfigurados ou comprometidos, também permitem que os atacantes façam túneis de comunicações através da rede, anonimizando efetivamente o seu tráfego e evitando os métodos de deteção tradicionais.
Esta estratégia também complementa a abordagem “living off the land” do Volt Typhoon. Em vez de utilizar malware, que pode ser detetado por muitos sistemas de segurança modernos, estes agentes utilizam ferramentas de administração de rede incorporadas, como wmic, ntdsutil, netsh e PowerShell. As atividades maliciosas perdem-se no mar de tarefas administrativas benignas, tornando difícil para à cibersegurança identificar os atacantes no meio de utilizadores legítimos.
Estas técnicas também permitem que o grupo APT mantenha a persistência na rede. O ataque a dispositivos de rede SOHO (Small Office/Home Office) pode ser utilizado como infraestrutura intermédia para ocultar a sua verdadeira origem e manter o controlo sobre uma rede, mesmo que outros elementos da sua operação sejam descobertos e removidos. Um ponto de apoio oculto é uma ferramenta poderosa para uma APT, permitindo uma segunda vaga de ataques ou a extração de dados, mesmo depois de uma organização acreditar que a ameaça foi eliminada.
A descoberta da natureza independente do firmware dos componentes implantados indica que uma vasta gama de dispositivos pode estar em risco.
Os investigadores relataram que a natureza independente do firmware dos componentes implantados indica que uma vasta gama de dispositivos e fornecedores pode estar em risco, e por isso recomendam ser importante manter os dispositivos de rede atualizados e protegidos e ter cuidado com qualquer atividade suspeita na rede.
Como proteger a rede
A descoberta de recentes ataques de espionagem realça a importância de tomar medidas de proteção contra ataques semelhantes. A Check Point Research recomenda para a deteção e proteção:
- Atualizações de software: A atualização regular do firmware e do software dos routers e de outros dispositivos é crucial para evitar vulnerabilidades que os atacantes possam explorar.
- Patches atualizados: Manter os computadores atualizados e aplicar correções de segurança, especialmente as rotuladas como críticas, pode ajudar a limitar a vulnerabilidade de uma organização a ataques de ransomware, uma vez que essas correções são normalmente ignoradas ou demoram demasiado tempo a oferecer a proteção necessária.
- Credenciais predefinidas: Altere as credenciais de início de sessão predefinidas de qualquer dispositivo ligado à Internet para palavras-passe mais fortes e utilize a autenticação multifator sempre que possível. Os atacantes procuram frequentemente na Internet dispositivos que ainda utilizam credenciais predefinidas ou fracas.
- A prevenção de ameaças é crucial: As soluções de segurança de rede da Check Point fornecem prevenção avançada de ameaças e proteção de rede em tempo real contra ataques sofisticados como os utilizados pelo grupo Camaro Dragon APT. Isto inclui proteção contra exploits, malware e outras ameaças avançadas. O Quantum IoT Protect da Check Point identifica e mapeia automaticamente os dispositivos IoT e avalia o risco, impede o acesso não autorizado a e de dispositivos IoT/OT com perfil e segmentação de confiança zero, e bloqueia ataques contra dispositivos IoT.
Os fabricantes podem fazer mais para proteger os seus dispositivos contra malware e ciberataques. Novas regulamentações nos EUA e na Europa exigem que os vendedores e fabricantes garantam que os dispositivos não representam riscos para os utilizadores e que incluam funcionalidades de segurança no dispositivo.
A Check Point Research indicou que o Check Point IoT Embedded com Nano Agent fornece proteção em tempo de execução no dispositivo, permitindo dispositivos ligados com segurança de firmware incorporada. O Nano Agent é um pacote personalizado que fornece as principais capacidades de segurança e impede a atividade maliciosa em routers, dispositivos de rede e outros dispositivos IoT. O Check Point IoT Nano Agent tem capacidades avançadas de proteção de memória, deteção de anomalias e integridade do fluxo de controlo. Funciona dentro do dispositivo e serve como uma linha da frente para proteger os dispositivos IoT.