Analysis

Operação da Sophos descobre vasto ecossistema de adversários na China

Uma operação ofensiva e contraofensiva da Sophos com múltiplos adversários na China descobriu um vasto ecossistema de adversários

07/11/2024

Operação da Sophos descobre vasto ecossistema de adversários na China

A Sophos lançou o relatório “Pacific Rim” que detalha as suas operações defensivas e contraofensivas ao longo dos últimos cinco anos com vários adversários de estados-nação interligados, localizados na China, cujo alvo eram dispositivos periféricos, incluindo as firewalls da Sophos.

Os atacantes recorreram a diversas campanhas com novos exploits e malware personalizado para instalar ferramentas para realizarem vigilância, sabotagem e ciberespionagem, bem como táticas, ferramentas e procedimentos (TTP) sobrepostos com grupos de estados-nação chineses conhecidos, incluindo Volt Typhoon, APT31 e APT41. Os adversários tinham como alvo pequenas e grandes infraestruturas críticas e entidades governamentais, principalmente no Sul e Sudeste Asiático, incluindo fornecedores de energia nuclear, o aeroporto da capital de um país, um hospital militar, aparelho de segurança do Estado e ministérios de um governo central.

Na operação Pacific Rim, a Sophos X-Ops, a unidade de cibersegurança e de inteligência de ameaças da empresa, trabalhou para neutralizar os movimentos dos adversários e desenvolveu continuamente ações de defesa e contraofensivas. Depois de a Sophos ter respondido com sucesso aos ataques iniciais, os adversários intensificaram os seus esforços e trouxeram operadores mais experientes. Subsequentemente, a Sophos descobriu um vasto ecossistema de adversários.

Embora a Sophos tenha, já desde 2020, divulgado detalhes sobre campanhas associadas a esta operação, incluindo Cloud Snooper e Asnarök, partilha agora a análise geral da investigação para aumentar a sensibilização para a persistência dos adversários do estado-nação chinês e o seu hiperfoco em comprometer dispositivos periféricos, sem patches e em fim de vida (EOL), muitas vezes através de exploits de dia zero que estão a criar para esses dispositivos. A Sophos está também a encorajar todas as organizações a aplicarem urgentemente patches para as vulnerabilidades descobertas em qualquer um dos seus dispositivos com acesso à Internet, e a migrarem quaisquer dispositivos mais antigos não suportados para modelos atuais. A Sophos atualiza regularmente todos os seus produtos suportados com base em novas ameaças e indicadores de compromisso (IoCs) para proteger os clientes. Os clientes da Sophos Firewall estão protegidos através de hotfixes rápidos que estão agora ativados por defeito.

A realidade é que os dispositivos no edge tornaram-se alvos muito atrativos para os grupos de estados-nação chineses, como o Volt Typhoon e outros, que procuram construir caixas de retransmissão operacionais (ORB) para encobrirem e apoiarem a sua atividade. Isto inclui apontarem diretamente para uma organização para fins de espionagem ou, indiretamente, tirarem partido de quaisquer pontos fracos para ataques posteriores – tornando-os essencialmente danos colaterais. Mesmo as organizações que não são alvos estão a ser atingidas. Os dispositivos de rede concebidos para as empresas são alvos naturais para estes fins – são potentes, estão sempre ligados e têm uma conectividade constante”, afirmou Ross McKerchar, CISO da Sophos, em comunicado. “Quando um grupo que procurava construir uma rede global de ORBs se dirigiu a alguns dos nossos dispositivos, respondemos aplicando as mesmas técnicas de deteção e resposta que utilizamos para defender os nossos endpoints empresariais e dispositivos de rede. Isto permitiu-nos neutralizar várias operações e tirar partido de um valioso fluxo de informações sobre ameaças que aplicámos para proteger os nossos clientes – tanto de futuros ataques generalizados, como de operações altamente direcionadas”.

A 4 de dezembro de 2018, um computador com poucos privilégios ligado a um ecrã suspenso começou a analisar a rede Sophos – aparentemente de forma individual – na sede da Cyberoam – uma empresa que a Sophos adquiriu em 2014 – na Índia. A Sophos encontrou uma carga útil que escutava silenciosamente o tráfego de internet especializado que entrava no computador e que continha um novo tipo de backdoor e um rootkit complexo – o “Cloud Snooper”.

Em abril de 2020, depois de várias organizações terem reportado uma interface de utilizador que apontava para um domínio com “Sophos” no seu nome, a Sophos trabalhou com as autoridades europeias, que localizaram e confiscaram o servidor que os adversários utilizaram para implementar cargas úteis maliciosas no que a Sophos mais tarde apelidou de Asnarök. A Sophos neutralizou o Asnarök, que conseguiu atribuir à China, assumindo o controlo do canal de comando e controlo (C2) do malware. Isso também permitiu à Sophos neutralizar uma onda planeada de ataques de botnet.

Após o Asnarök, a Sophos avançou nas suas operações de inteligência, criando um programa adicional de monitorização de agentes de ameaças focado na identificação e perturbação de adversários que procuram explorar os dispositivos Sophos implementados em ambientes de clientes. O programa foi construído utilizando uma combinação de inteligência de código aberto, análise da web, monitorização de telemetria e implementações de kernel direcionados nos dispositivos de pesquisa dos atacantes.

Em seguida, os atacantes mostraram um nível crescente de persistência, melhorando as suas táticas e implementando malware cada vez mais furtivo. No entanto, utilizando o seu programa de monitorização de agentes de ameaças, bem como capacidades melhoradas de recolha de telemetria, a Sophos conseguiu antecipar-se a vários ataques e obter uma cópia de um kit de arranque UEFI e de exploits personalizados antes que pudessem ser amplamente implementados.

Alguns meses mais tarde, a Sophos conectou alguns dos ataques a um adversário que demonstrou ter ligações à China e ao Instituto de Investigação Double Helix da Sichuan Silence Information Technology, na região de Chengdu daquele país.

Em março de 2022, um investigador de segurança anónimo reportou à Sophos uma vulnerabilidade de dia zero de execução remota de código, designada CVE-2022-1040, como parte do programa de recompensas de bugs da empresa. Uma investigação mais aprofundada revelou que esta CVE já estava a ser explorada em várias operações – operações que a Sophos conseguiu então impedir que afetassem os clientes. Após uma análise mais detalhada, a empresa determinou que a pessoa que reportou o exploit podia ter tido uma ligação aos adversários. Esta foi a segunda vez que a Sophos recebeu uma “dica” suspeita sobre um exploit antes de este ser utilizado de forma maliciosa.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº21 Dezembro 2024

IT SECURITY Nº21 Dezembro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.