Espionagem cibernética chinesa
9 de Julho de 2024

Agências de cibersegurança da Austrália, Canadá, Alemanha, Japão, Nova Zelândia, Coreia do Sul, Reino Unido e Estados Unidos lançaram um comunicado conjunto sobre um grupo de espionagem cibernética ligado à China chamado APT40, alertando sobre sua capacidade de cooptar exploits para falhas de segurança recém-divulgadas em questão de horas ou dias após a divulgação pública.
"O APT40 já visou organizações em diversos países, incluindo Austrália e Estados Unidos", disseram as agências.

Notavelmente, o APT40 possui a capacidade de rapidamente transformar e adaptar provas de conceito (PoCs) de vulnerabilidade para operações de targeting, reconhecimento e exploração.

O coletivo adversário, também conhecido como Bronze Mohawk, Gingham Typhoon (anteriormente Gadolinium), ISLANDDREAMS, Kryptonite Panda, Leviathan, Red Ladon, TA423 e TEMP.Periscope, é conhecido por estar ativo desde pelo menos 2013, realizando ataques cibernéticos contra entidades na região Ásia-Pacífico.

Avalia-se que ele seja baseado em Haikou.

Em julho de 2021, os EUA e seus aliados atribuíram oficialmente o grupo como afiliado ao Ministério da Segurança do Estado (MSS) da China, indiciando vários membros da equipe de hackers por orquestrar uma campanha de vários anos visando diferentes setores para facilitar o roubo de segredos comerciais, propriedade intelectual e informações de alto valor.

Nos últimos anos, o APT40 foi vinculado a ondas de intrusion delivering o framework de reconhecimento ScanBox, bem como à exploração de uma falha de segurança no WinRAR ( CVE-2023-38831 , pontuação CVSS: 7.8) como parte de uma campanha de phishing visando a Papua Nova Guiné para entregar um backdoor denominado BOXRAT.

Então, anteriormente em março, o governo da Nova Zelândia implicou o ator de ameaça no comprometimento do Escritório de Conselheiro Parlamentar e do Serviço Parlamentar em 2021.

"O APT40 identifica novos exploits em softwares públicos amplamente utilizados como Log4j, Atlassian Confluence e Microsoft Exchange para visar a infraestrutura da vulnerabilidade associada", disseram as agências autoras.

O APT40 realiza regularmente reconhecimento contra redes de interesse, incluindo redes nos países das agências autoras, procurando oportunidades para comprometer seus alvos.

Esse reconhecimento regular posiciona o grupo para identificar dispositivos vulneráveis, no fim da vida útil ou não mais mantidos em redes de interesse, e para implantar rapidamente exploits.

Digno de nota entre as técnicas empregadas pela equipe de hacking patrocinada pelo estado é a implantação de web shells para estabelecer persistência e manter acesso ao ambiente da vítima, bem como seu uso de sites australianos para fins de comando e controle (C2).

Também foi observado que ele incorpora dispositivos desatualizados ou não corrigidos, incluindo roteadores de pequenos escritórios/escritórios domésticos (SOHO), como parte de sua infraestrutura de ataque, em uma tentativa de reencaminhar o tráfego malicioso e evitar a detecção, um estilo operacional semelhante ao usado por outros grupos baseados na China, como Volt Typhoon.

Segundo a Mandiant, pertencente à Google, isso faz parte de uma transição mais ampla na atividade de espionagem cibernética originária da China que visa colocar a discrição em primeiro plano, aumentando cada vez mais a utilização de dispositivos de borda de rede, redes de caixas de relé operacionais (ORB) e técnicas de living-off-the-land (LotL) para passar despercebido.

As cadeias de ataque envolvem ainda a realização de reconhecimento, escalada de privilégios e atividades de movimento lateral usando o protocolo de desktop remoto (RDP) para roubar credenciais e exfiltrar informações de interesse.

Para mitigar os riscos representados por tais ameaças, recomenda-se às organizações manter mecanismos de log adequados, impor autenticação multifatorial (MFA), implementar um sistema robusto de gerenciamento de patches, substituir equipamentos no fim da vida útil, desativar serviços, portas e protocolos não utilizados, e segmentar redes para impedir o acesso a dados sensíveis.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...