Table of Contents
Os atores de ameaças da China operam em um nível elevado, impulsionados por anos de testes em dispositivos de borda. Dispositivos de rede, favoritos das APTs, garantem acesso à rede, servindo como nodos para botnets. Esses dispositivos são vulneráveis, armazenam dados sensíveis e são difíceis de proteger.
A evolução das APTs chinesas começou em 2018, com uma mudança nas táticas. Observou-se uma transição de ataques simples para campanhas sofisticadas, seguidas por ataques direcionados a organizações específicas.
O Primeiro Salvo em uma Longa Guerra Cibernética
No dia 4 de dezembro de 2018, a Sophos identificou um dispositivo realizando varreduras de rede na Cyberoam, uma subsidiária da Sophos na Índia. O ataque utilizou malware comum, mas a técnica de pivotar através de configurações inadequadas da Amazon Web Services era notável.
Ross McKerchar, diretor de segurança da informação da Sophos, observou que o AWS SM apresentava uma configuração inadequada. “Foi um dos primeiros sinais de que estávamos lidando com um adversário interessante”, afirmou.
Após a invasão, um rootkit conhecido como Cloud Snooper foi implantado, que conseguia passar despercebido por análises de segurança, sinalizando a coleta de informações para futuros ataques.
Uma Evolução de Cinco Anos nas Táticas, Técnicas e Procedimentos Chineses
Entre 2020 e 2022, as ameaças cibernéticas chinesas se intensificaram. Os atacantes focaram na invasão de dispositivos de borda em grande escala, aproveitando-se das interfaces vulneráveis expostas pela Internet.
A pandemia da COVID-19 facilitou essa exploração, pois muitas empresas permitiram conexões remotas. Além disso, a Administração do Ciberespaço da China impôs novas normas, exigindo que vulnerabilidades fossem relatadas antes de serem divulgadas.
As APTs buscavam não apenas comprometer dispositivos, mas também integrá-los a redes maiores, conhecidas como caixas de retransmissão operacionais (ORBs), permitindo ataques mais discretos e avançados.
O Que Está Acontecendo Agora
Por volta de 2022, as APTs mudaram de tática, concentrando-se em organizações de alto valor: agências governamentais, empresas de pesquisa e infraestrutura crítica. Esses ataques utilizam vulnerabilidades conhecidas e zero-day, mixando elementos de ataques ativos e práticos.
A eficácia dos atacantes é evidente, superando as defesas cibernéticas e bloqueando suas atividades. McKerchar observa uma transição clara para uma persistência furtiva nas atividades.
Ele destaca que, com o tempo, o malware se tornou mais sutil e menos reconhecível. A próxima fase de desenvolvimento é imprevisível, mas a melhoria será inevitável.
Ameaças Chinesas em Cibersegurança: Técnicas das APTs
As ameaças cibernéticas advindas da China, como APT 41, APT 40 e APT 26, têm se mostrado altamente sofisticadas. Estas APTs utilizam técnicas avançadas para superar as defesas e realizar movimentação lateral em dispositivos de borda após o comprometimento inicial. Aqui estão algumas das principais técnicas usadas:
Uso de Malware e Ferramentas Avançadas
- A APT 41 destaca-se pelo uso de malware variado, incluindo ransomware e wiper malware, além de explorar brechas de dia zero para obter acesso e garantir sua persistência no alvo.
- A APT 40 direciona-se à coleta de informações sensíveis de projetos governamentais, utilizando ferramentas especializadas para acessar propostas, reuniões, dados financeiros e outros dados confidenciais.
Rootkits e Bootkits
- O uso de rootkits e bootkits é uma técnica comum entre diversas APTs, permitindo que invasores permaneçam ocultos nos sistemas, evitando a detecção de softwares de segurança tradicionais.
- Embora a APT 28 seja russa, suas técnicas de backdoor como o EVILTOSS e a família de implantes CHOPSTICK, que incluem componentes de rootkits, são relevantes para o contexto de APTs em geral.
Spear Phishing e Comprometimento de Aplicativos da Web
- A APT 27, suspeita de ser chinesa, utiliza ataques de spear phishing como um método inicial de comprometimento.
- Além disso, comprometem aplicativos da web vulneráveis para um acesso inicial ao sistema alvo.
Movimentação Lateral
- Após o acesso inicial, as APTs chinesas empregam diversas técnicas para movimentação lateral na rede.
- Isso envolve o uso de credenciais roubadas, exploração de vulnerabilidades e a instalação de backdoors.
- A APT 41, por exemplo, é conhecida por monitorar alvos e coletar informações sensíveis em diferentes partes da rede.
Uso de Contas Comprometidas
- As APTs também utilizam contas comprometidas para enviar e-mails maliciosos a outras vítimas, ampliando o impacto do ataque.
- Operações da APT 27 frequentemente veem contas exigidas para enviar e-mails de spear phishing a alvos semelhantes.
Essas técnicas revelam a complexidade e a persistência das APTs chinesas, ressaltando a importância de defesas cibernéticas robustas e atualizadas para mitigar estas ameaças.
Ameaças da China: Evolução e Ataques a Dispositivos de Bordo
As APTs (Ameaças Persistentes Avançadas) chinesas têm desenvolvido inovações significativas nos rootkits e bootkits, essenciais para garantizar persistência e furtividade em suas operações. Isso é especialmente crítico após a infiltração de dispositivos de rede de borda. A seguir estão algumas das inovações e táticas chave:
Uso de Firmware Malicioso
Grupos como o Winnti backdoor implementam firmware bootkits para comprometer dispositivos em um nível muito baixo. O MosaicRegressor, framework detectado pela Kaspersky, usa componentes maliciosos para gravar executáveis no diretório de boot do Windows. Isso assegura a persistência mesmo após reinstalações do sistema operacional.
Manipulação do UEFI
A manipulação do Unified Extensible Firmware Interface (UEFI) permite aos atacantes chineses instalar rootkits e bootkits profundamente no sistema. O LoJax, um UEFI rootkit, exemplifica como o malware persiste mesmo após ações corretivas no disco rígido, mantendo backdoors ativos durante o boot, o que dificulta a detecção.
Uso de C2 Infraestrutura Avançada
APTs como a APT 41 utilizam sofisticadas infraestruturas de comando e controle (C2). Elas registram domínios DNS para manter controle sobre malwares implantados. Essa unidade permite operações prolongadas e complexas, com a observação de cerca de 150 malwares únicos em suas campanhas.
Personalização e Uso de Ferramentas Legítimas
Os invasores frequentemente customizam suas ferramentas maliciosas e manipulam software legítimo. A APT 41, por exemplo, usa e-mails de spear phishing com arquivos .chm para comprometer vítimas. Além disso, modificam bootkits legítimos para direcioná-los aos servidores C2, dificultando a detecção sem alterar suas funcionalidades.
Táticas de Evasão Avançadas
Táticas avançadas de evasão são empregadas para manter a furtividade das APTs chinesas. Isso inclui criptografia como RSA para proteger dados roubados e túneis de DNS personalizados para comunicação discreta com servidores C2. Mudanças incrementais em ferramentas como o downloader SOURFACE demonstram um esforço proativo e de longo prazo para evitar a detecção.
Essas inovações e táticas consolidam as APTs chinesas como ameaças persistentes e formidáveis, especialmente em missões de espionagem cibernética envolvendo dispositivos de bordo.
#ameaças #cibersegurança #APTs #dispositivosderede #segurançadainformação #tecnologia #alegon