APT chinesa Volt Typhoon associada a botnet de routers antigos para transferir dados

Os investigadores de malware dos Estados Unidos estão a acompanhar uma botnet que parece ser impossível de combater. Esta é composta por routers para pequenas empresas no fim do seu ciclo de vida, que servem como uma rede secreta de transferência de dados para o Volt Typhoon, um grupo de cibercriminosos apoiado pelo governo da China.

A descoberta da botnet – repleta de dispositivos Cisco, Netgear e Fortinet desatualizados – procura mitigar os danos causados pela atividade maliciosa do Volt Typhoon, que foi detetada pela primeira vez em organizações de infraestruturas críticas em Guam, um território insular norte-americano no Oceano Pacífico.

O Volt Typhoon foi sinalizado pela Microsoft e por funcionários do governo norte-americano como uma ameaça persistente avançada (APT) chinesa capaz de interromper infraestruturas críticas de comunicações. No passado, o grupo de cibercriminosos conseguiu penetrar em milhares de organizações ligadas a áreas como comunicações, fabricação, serviços públicos, transporte, construção, marítima, governamental, tecnologia da informação e educação.

Os cibercriminosos chineses conseguiram assumir o controlo de centenas de routers antigos e desatualizados, que utilizaram para criar uma rede secreta de transferência de dados semelhante ao Tor para realizar operações maliciosas, de acordo com uma investigação do Black Lotus Labs.

Danny Adamitis, investigador do Black Lotus Labs, afirmou em entrevista à SecurityWeek que a coleção de routers sequestrados – conhecidos como KV-botnet com base em artefactos do malware – apresenta um processo de infeção complexo e uma estrutura de comando e controlo bem escondida.

A botnet é constituída principalmente por produtos em fim de vida que são vulneráveis a problemas críticos de segurança, revela Adamitis, uma vez que os fornecedores deixaram de lhes enviar patches de segurança. 

“A única solução é remover e substituir essas coisas”, refere Adamitis, adiantando que a sua equipa encontrou equipamentos Cisco RV320s, routers DrayTek Vigor e dispositivos Netgear ProSAFEs.

O grupo de cibercriminosos poderá estar a preparar-se para uma nova onda de ataques durante o período de festas, visto que as câmaras IP da Axis sequestradas foram adicionadas à botnet no meio de uma remodelação da infraestrutura da botnet, prevê o investigador.

“Tomando nota das mudanças estruturais, do targeting de novos tipos de dispositivos, como câmaras IP, e da exploração em massa no início de dezembro, suspeitamos que isso possa ser um precursor do aumento da atividade durante a temporada de férias”, adverte a empresa, que publicou também uma análise técnica detalhada das complexidades da botnet e da sua ligação ao Volt Typhoon com provas.

“Avaliamos que esta tendência de utilização de firewalls e routers comprometidos continuará a emergir como um componente central das operações dos agentes de ameaças, tanto para permitir o acesso a vítimas de alto perfil quanto para estabelecer infraestrutura secreta”, explica o Black Lotus Labs. Os routers em fim de vida continuam a ser amplamente implantados nas principais organizações por todo o mundo, acrescenta.

“Embora classifiquemos a maioria das infeções KV como oportunistas; esse cluster infetou dispositivos SOHO (Small Offices/Home Offices) associados a algumas redes de alto valor. Os exemplos incluem uma organização judicial dos EUA e uma organização dos EUA que gere uma rede baseada em satélite”, escreveram no relatório.

“Há uma grande oferta de dispositivos de ponta desatualizados e geralmente considerados em fim de vida na Internet, que não são mais elegíveis para receber patches. Além disso, como esses modelos estão associados a utilizadores domésticos e de pequenas empresas, é provável que muitos alvos não tenham recursos e experiência para monitorizar ou detetar atividades maliciosas e realizar análises forenses”, conclui Adamitis.

Adamitis acrescenta também que os modelos de routers utilizados pelos cibercriminosos são capazes de lidar com uma largura de banda de dados de médio a grande porte, o que significa que provavelmente não haverá impacto percetível para os utilizadores legítimos.