Relatório da Sophos detalha operações de cibercriminosos baseados na China

Relatório da Sophos detalha operações de cibercriminosos baseados na China.

Companhia revelou um amplo ecossistema de grupos de invasores que visam alvos governamentais e infraestruturas críticas

A Sophos, líder global em soluções de segurança inovadoras que evitam ciberataques, divulgou o relatório “Pacific Rim”, que detalha operações de defesa e contra-ofensivas dos últimos cinco anos em adversários interligados, baseados na China e com alvo em dispositivos periféricos, incluindo os firewalls da Sophos. Nele, foi revelado que os criminosos usaram uma série de campanhas com novas explorações e malwares personalizados para incorporar recursos que realizam vigilância, sabotagem e ciberespionagem, bem como táticas, ferramentas e procedimentos (TTPs) sobrepostos com grupos conhecidos do Estado chinês, incluindo Volt Typhoon, APT31 e APT41. Os adversários visam pequenas e grandes infraestruturas críticas e instituições governamentais, localizadas principalmente no Sul e Sudeste da Ásia, incluindo fornecedores de energia nuclear, o aeroporto de uma capital nacional, um hospital militar, o aparato de segurança estatal e ministérios do governo central.

Durante todo o Pacific Rim, o Sophos X-Ops, unidade de cibersegurança e inteligência de ameaças da companhia, trabalhou para neutralizar adversários e desenvolveu ações de defesa e contra-ofensivas. Depois da empresa responder com sucesso aos ataques iniciais, criminosos aumentaram seus esforços e trouxeram operadores mais experientes. Posteriormente, foi descoberto um vasto ecossistema de oponentes.

Desde 2020, a Sophos tem divulgado detalhes sobre campanhas relacionadas, como o Cloud Snooper e o Asnarök. Agora, a empresa está compartilhando a análise geral da investigação para aumentar a conscientização sobre a persistência dos adversários do Estado chinês e seu foco em comprometer dispositivos periféricos, sem atualização e em fim de vida (EOL), geralmente por meio de explorações de dia zero que estão criando para esses componentes. A companhia também está incentivando todas as organizações a aplicarem urgentemente patches para vulnerabilidades descobertas em qualquer um de seus aparelhos conectados à internet e a migrarem todos os mais antigos e sem suporte para modelos atuais. Além disso, a organização atualiza regularmente todos os seus produtos com base em novas ameaças e indicadores de comprometimento (IoCs) para proteger seus clientes. Os usuários do Sophos Firewall estão protegidos por meio de hotfixes rápidos que agora são ativados por padrão.

“A realidade é que os dispositivos periféricos se tornaram alvos altamente atraentes para grupos chineses, como o Volt Typhoon e outros, à medida que procuram construir caixas de transmissão operacional (ORBs) para ofuscar e apoiar suas atividades. Isso inclui visar diretamente uma organização para espionagem ou aproveitar, de forma indireta, pontos fracos para ataques posteriores, tornando-se essencialmente um dano colateral. Mesmo as empresas que não são alvos estão sendo atingidas. Os componentes de rede projetados para companhias são alvos naturais para esses fins, pois são poderosos, estão sempre ligados e têm conectividade constante. Quando um grupo que buscava construir uma rede global de ORBs atacou alguns de nossos equipamentos, respondemos aplicando as mesmas técnicas de detecção e resposta que usamos para defender nossos endpoints corporativos. Isso nos permitiu inibir várias operações e aproveitar um valioso fluxo de inteligência de ameaças para proteger nossos clientes tanto de futuros ataques generalizados, quanto de operações altamente direcionadas”, afirma Ross McKerchar, CISO da Sophos.

Destaques do relatório

Em 4 de dezembro de 2018, um computador conectado a um monitor suspenso começou a escanear a rede da Sophos – aparentemente por conta própria – na sede da Cyberoam, na Índia. Na ocasião, a empresa encontrou uma carga útil que observava silenciosamente o tráfego de entrada especializado da internet na máquina que continha um novo tipo de backdoor e um rootkit complexo – o “Cloud Snooper”.
Em abril de 2020, depois de várias organizações relatarem uma interface de usuário apontando para um domínio com “Sophos” em seu nome, a verdadeira Sophos trabalhou com a polícia europeia, que rastreou e confiscou o servidor que os criminosos usaram para implementar cargas úteis maliciosas no que mais tarde foi apelidado de Asnarök. A companhia neutralizou o malware, que foi atribuído à China, assumindo o controle do canal de comando (C2). Isso também permitiu que uma onda planejada de ataques de botnet fosse neutralizada.
Depois do Asnarök, a Sophos avançou em suas operações de inteligência, criando um programa adicional de rastreamento de agentes de ameaças focado na identificação e interrupção de adversários que buscam explorar os dispositivos da companhia implementados em ambientes de clientes; o programa foi desenvolvido usando uma combinação de inteligência de código aberto, análise da Web, monitoramento de telemetria e inserções de kernel direcionados instalados nos dispositivos de pesquisa dos invasores.
Em seguida, os atacantes persistiram, aprimorando suas táticas e implementando malwares cada vez mais discretos. No entanto, usando seu programa de rastreamento de agentes de ameaças e recursos avançados de coleta de telemetria, a Sophos conseguiu se antecipar a vários ataques e obter uma cópia de um kit de inicialização UEFI e exploits personalizados antes que eles pudessem ser introduzidos em larga escala.
Alguns meses depois, a Sophos rastreou alguns dos ataques a um adversário que demonstrou ter vínculos com a China e com o Instituto de Pesquisa Double Helix, da Sichuan Silence Information Technology, na região de Chengdu, no país asiático.
Em março de 2022, um pesquisador de segurança anônimo relatou à Sophos uma vulnerabilidade de execução remota de código de dia zero, designada CVE-2022-1040, como parte do programa de recompensa por bugs da empresa. Uma investigação mais aprofundada revelou que essa CVE já estava sendo explorada em diversas operações, impedindo clientes de serem afetados. Assim, a Sophos determinou que a pessoa que relatou a exploração pode ter tido uma conexão com os criminosos. Essa foi a segunda vez que a organização recebeu uma “dica” em um momento suspeito sobre um golpe antes que ele fosse aplicado.

“Os recentes avisos da CISA deixam claro que os grupos chineses se tornaram uma ameaça constante à infraestrutura essencial de outros países. O que tendemos a esquecer é que as empresas de pequeno e médio porte, que formam a maior parte da cadeia de suprimentos críticos, são alvos, pois geralmente são os elos fracos. Geralmente, essas companhias têm menos recursos para se defender contra ameaças tão sofisticadas. O que complica ainda mais a situação é a tendência desses adversários de se firmarem e se estabelecerem, dificultando sua expulsão. O modus operandi dos cibercriminosos baseados na China é criar persistência de longo prazo e ataques complexos e ofuscados”, completa McKerchar.

Declarações sobre o relatório Pacific Rim, da Sophos

“Por meio do JCDC, a CISA obtém e compartilha dados cruciais sobre os desafios de cibersegurança que enfrentamos, incluindo as táticas e técnicas avançadas usadas pelos agentes cibernéticos patrocinados pelo Estado chinês. A experiência da Sophos, assim como seus relatórios, fornecem à comunidade cibernética global mais informações sobre os comportamentos em evolução na China. Trabalhando lado a lado, estamos ajudando as equipes de defesa a entender a escala e a exploração generalizada dos dispositivos de rede periféricos e a implementar estratégias de redução de danos”, afirma Jeff Greene, diretor assistente executivo de segurança cibernética da CISA. “A CISA continua a destacar como as classes de vulnerabilidades, incluindo injeções de SQL e segurança de memória, continuam a ser exploradas em massa. Pedimos aos fabricantes de software que analisem nossos recursos Secure by Design e, como a Sophos fez neste caso, coloquem seus princípios em prática. Incentivamos outros a assumir o compromisso e a analisar nossos alertas sobre como eliminar classes comuns de defeitos”, completa o executivo.

“Muitos fornecedores de cibersegurança realizam operações de pesquisa de adversários, mas poucos são capazes de fazê-lo com sucesso contra um conjunto tão desafiador de criminosos de um país por um período de tempo tão longo. A Sophos aproveitou ao máximo uma oportunidade única e deve ser elogiada por fornecer pesquisas e conclusões táticas que ajudarão a defender melhor seus clientes agora e no futuro”, comenta Eric Parizo, principal analista de gerenciamento do grupo de pesquisa de cibersegurança da Omdia.

“Na NCSC-NL, uma de nossas tarefas é compartilhar informações e conectar organizações. Facilitar a comunicação e a cooperação entre companhias nacionais e internacionais é de grande importância para melhorar a resiliência cibernética. Estamos felizes por termos contribuído para essa investigação com a Sophos”, explica Hielke Bontius, chefe de operações do NCSC-NL.

Recomendações para equipes de defesa

As organizações devem esperar que todos os dispositivos conectados à internet sejam os principais alvos de adversários, especialmente em infraestruturas críticas. A Sophos incentiva organizações a tomar as seguintes medidas para fortalecer sua postura de segurança:

Minimizar os serviços e dispositivos conectados à internet sempre que possível;
Priorizar a aplicação de patches com urgência para dispositivos conectados à internet e manter seus monitoramentos;
Permitir que hotfixes para dispositivos periféricos sejam aplicados automaticamente;
Colaborar com as autoridades policiais, parceiros público-privados e governo para compartilhar e agir sobre IoCs relevantes;
Criar um plano de como a organização lida com dispositivos EOL.

“Precisamos trabalhar de forma colaborativa entre os setores público e privado, as autoridades policiais e governamentais e o segmento de segurança, para compartilhar o que sabemos sobre essas operações. Visar os mesmos dispositivos periféricos que são implementados para proteger as redes é uma tática ousada e inteligente. As organizações, os parceiros de canais e os provedores de serviços gerenciados (MSPs) precisam entender que esses dispositivos são os principais alvos dos cibercriminosos e devem garantir que eles sejam adequadamente protegidos e que os patches essenciais sejam aplicados assim que forem lançados. Na verdade, sabemos que os invasores estão procurando ativamente por componentes EOL. Os fornecedores também desempenham um papel importante, pois precisam ajudar os clientes oferecendo suporte a hotfixes confiáveis e bem testados, facilitando a atualização de plataformas EOL ao remover sistematicamente o código legado que pode abrigar vulnerabilidades persistentes para, assim, melhorar os designs seguros por padrão”, conclui McKerchar.

Sobre a Sophos

A Sophos é líder global e inovadora em soluções de segurança avançadas que evitam ataques cibernéticos, incluindo detecção e resposta gerenciada (MDR) e serviços de resposta a incidentes, além de um amplo portfólio de tecnologias de segurança de endpoint, rede, e-mail e nuvem. Como um dos maiores fornecedores de segurança cibernética, a Sophos defende mais de 600 mil organizações e mais de 100 milhões de usuários em todo o mundo contra adversários ativos, ransomware, phishing, malware e muito mais. Os serviços e produtos da Sophos conectam-se por meio do console de gerenciamento Sophos Central e são alimentados pelo Sophos X-Ops, a unidade multioperacional de inteligência de ameaças da empresa. A inteligência do Sophos X-Ops otimiza todo o ecossistema adaptativo de segurança cibernética da companhia, que inclui um data lake centralizado que aproveita um rico conjunto de APIs abertas disponíveis para clientes, parceiros, desenvolvedores e outros fornecedores de cibersegurança e tecnologia da informação. A Sophos fornece segurança cibernética como serviço para organizações que precisam de soluções totalmente gerenciadas. Os clientes também podem administrar a segurança cibernética diretamente com a plataforma de operações de segurança da Sophos ou utilizar uma abordagem híbrida, complementando equipes internas com os serviços da Sophos, incluindo a busca e a remediação de ameaças. A Sophos comercializa os produtos por meio de parceiros revendedores e provedores de serviços gerenciados (MSPs) em todo o mundo. A Sophos está sediada em Oxford, Reino Unido. Mais informações estão disponíveis em www.sophos.com.

Veja também: