A Sophos divulgou hoje uma série de relatórios nomeados "Pacific Rim", que detalham como a empresa de cibersegurança vem enfrentando atores de ameaças chineses por mais de 5 anos, enquanto estes têm mirado cada vez mais em dispositivos de rede ao redor do mundo, incluindo os da Sophos.
Há anos, empresas de cibersegurança alertam que atores de ameaças chineses exploram falhas em dispositivos de rede periférica para instalar malware personalizado que lhes permite monitorar comunicações de rede, roubar credenciais, ou agir como servidores proxy para ataques retransmitidos.
Esses ataques têm visado fabricantes bem conhecidos, incluindo Fortinet, Barracuda, SonicWall, Check Point, D-Link, Cisco, Juniper, NetGear, Sophos, e muitos outros.
A Sophos atribuiu essa atividade a múltiplos atores de ameaças chineses, conhecidos como Volt Typhoon, APT31 e APT41/Winnti, todos conhecidos por visarem dispositivos de rede no passado.
"Por mais de cinco anos, a Sophos vem investigando múltiplos grupos baseados na China que visam firewalls da Sophos, com botnets, exploits inéditos e malware sob medida," explica a Sophos em um relatório que delineia a atividade.
Com a assistência de outros fornecedores de cibersegurança, governos e agências de aplicação da lei, conseguimos, com diferentes níveis de confiança, atribuir clusters específicos de atividade observada ao Volt Typhoon, APT31 e APT41/Winnti.
A Sophos diz que começou a combater os atores de ameaça em 2018, quando eles visaram a sede da Cyberoam, uma subsidiária da Sophos na Índia.
Os pesquisadores acreditam que foi nesse momento que os atores de ameaça começaram a pesquisar ataques a dispositivos de rede.
Desde então, os atores de ameaça passaram a usar vulnerabilidades zero-day e conhecidas para visar dispositivos de rede periférica.
A Sophos acredita que muitas das vulnerabilidades zero-day são desenvolvidas por pesquisadores chineses que não apenas as compartilham com os fornecedores, mas também com o governo chinês e atores de ameaça patrocinados pelo estado associados.
Ao longo dos anos, os atores de ameaça chineses evoluíram suas táticas para utilizar malware que só existe na memória, técnicas avançadas de persistência e o uso de dispositivos de rede comprometidos como redes proxy de caixas operacionais de retransmissão (ORBs) maciças para evadir detecção.
Enquanto muitos desses ataques colocaram os pesquisadores de cibersegurança na defensiva, a Sophos também teve a oportunidade de tomar a ofensiva, plantando implantes customizados em dispositivos que sabiam estar comprometidos.
"Examinando a telemetria, os analistas do X-Ops identificaram um dispositivo que, com alta confiança, concluíram pertencer à entidade Double Helix," explicou a Sophos.
Após consultar o conselho jurídico, o X-Ops implantou o implante direcionado e observou o atacante usando vim para escrever e executar um simples script Perl.
Embora de baixo valor, a implantação serviu como uma demonstração valiosa de capacidade de coleta de inteligência ao fornecer observabilidade em tempo quase real em dispositivos controlados pelo atacante.
Esses implantes permitiram à Sophos coletar dados valiosos sobre os atores de ameaça, incluindo um bootkit UEFI que foi observado sendo implantado em um dispositivo de rede.
Este dispositivo foi comprado por uma empresa baseada em Chengdu que enviou telemetria para um endereço IP nessa região.
A Sophos diz que essa região tem sido o epicentro de atividade maliciosa visando dispositivos de rede.
Os múltiplos relatórios da Sophos são altamente detalhados, compartilhando uma linha do tempo dos eventos e detalhes sobre como os defensores podem se proteger dos ataques.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...