Ataques contra grandes infraestruturas vão continuar a aumentar

A Check Point Research, a equipa de investigação da Check Point, seguiu de perto um conjunto de ataques direcionados a entidades europeias de negócios estrangeiros. 

Em causa estão campanhas associadas a um grupo APT chinês, patrocinado pelo estado e designado pela Check Point como Camaro Dragon, que apresenta semelhanças com atividades desenvolvidas por outros agentes de ameaça chineses.

As autoridades internacionais ligadas à cibersegurança emitiram já alertas sobre um conjunto de atividades associadas a um ciberator patrocinado pelo Estado da República Popular da China, designado por Volt Typhoon.

Depois do alerta da CISA em 2021 – que dava conta das técnicas comuns usadas pelas APTs patrocinadas pela China, em março de 2023 foram descobertos ataques de espionagem de origem chinesa contra entidades governamentais do sudeste asiático, com projetos de infraestruturas estratégicas.

Estes grupos APT chineses pretendem recolher informações estratégicas e garantirem a afirmação de um ponto de apoio nas redes para operações futuras. Uma das principais técnicas está relacionada precisamente com a exploração de dispositivos de rede como é o caso dos routers.

Neste caso, a análise realizada pela Check Point Research detetou um implante de firmware com vários componentes maliciosos, incluindo uma backdoor personalizada que permite aos atacantes manterem um acesso persistente, construírem uma infraestrutura anónima e permitirem o movimento em redes comprometidas.

O aumento do comprometimento deste tipo de dispositivos tem aumentado nos últimos anos, com um crescente interesse por parte dos agentes de ameaças chineses que recorrem a ferramentas de administração de rede incorporadas, fazendo com que as atividades maliciosas se “percam”, tornando-se difícil identificar os atacantes no meio de utilizadores legítimos.

O grupo APT podem manter a persistência na rede e até manter o controlo sobre uma rede em dispositivos de rede SOHO, permitindo uma segunda vaga de ataques ou até a extração e dados.

Como proteger a rede?

• Atualizações de software: Torna-se essencial atualizar regularmente o firmware e o software dos routers para evitar vulnerabilidades acessíveis para os atacantes;
• Patches atualizados: Manter os computadores atualizados ajuda a limitar as vulnerabilidades de uma organização a possíveis ataques de ransomware;
• Credenciais pré-definidas: Utilizar palavras-passe mais fortes e a autenticação multifator;
• Prevenção é fulcral: A prevenção é o melhor método para proteger a rede em tempo real contra possíveis ataques.