Uma recente campanha de espionagem cibernética, que tinha como alvo dispositivos de rede perimetral de diversos fornecedores, incluindo a Cisco, pode ter sido obra de atores vinculados à China, segundo novas descobertas da empresa de gerenciamento de superfície de ataque, Censys.
Nomeada ArcaneDoor, a atividade teria começado por volta de julho de 2023, com o primeiro ataque confirmado contra uma vítima não nomeada detectada no início de janeiro de 2024.
Os ataques direcionados, orquestrados por um ator estadual patrocinado anteriormente não documentado e suspeito de ser sofisticado, rastreado como UAT4356 (também conhecido como Storm-1849), incluíram a implantação de dois malwares personalizados denominados Line Runner e Line Dancer.
O caminho de acesso inicial utilizado para facilitar as intrusões ainda não foi descoberto, embora o adversário tenha sido observado explorando duas falhas já corrigidas em Cisco Adaptive Security Appliances (
CVE-2024-20353
e
CVE-2024-20359
) para persistir com o Line Runner.
Dados de telemetria coletados como parte da investigação revelaram o interesse do ator de ameaças em servidores Microsoft Exchange e dispositivos de rede de outros fornecedores, disse a Talos no mês passado.
Censys, que examinou mais a fundo os endereços IP controlados pelo ator, disse que os ataques apontam para o possível envolvimento de um ator de ameaça baseado na China.
Isso se baseia no fato de que quatro dos cinco hosts online apresentando o certificado SSL identificado como associado à infraestrutura dos atacantes estão associados aos sistemas autônomos (AS) Tencent e ChinaNet.
Além disso, entre os endereços IP gerenciados pelo ator de ameaça, há um host baseado em Paris (212.193.2[.]48) com o sujeito e emissor definidos como "Gozargah", que provavelmente se refere a uma conta do GitHub que hospeda uma ferramenta anticensura chamada Marzban.
O software, por sua vez, é "alimentado" por outro projeto de código aberto chamado Xray que possui um site escrito em chinês.
Isso implica que "alguns desses hosts estavam executando serviços associados a softwares anticensura provavelmente destinados a contornar o Grande Firewall" e que "um número significativo desses hosts está baseado em redes chinesas proeminentes", sugerindo que o ArcaneDoor poderia ser obra de um ator chinês, teorizou a Censys.
Atores estaduais afiliados à China têm, nos últimos anos, cada vez mais visado dispositivos de borda, explorando falhas zero-day em Barracuda Networks, Fortinet, Ivanti e VMware para infiltrar-se em alvos de interesse e implantar malware para acesso encoberto persistente.
O desenvolvimento surge enquanto a empresa francesa de cibersegurança Sekoia disse que conseguiu colocar em sinkhole um servidor de comando e controle (C2) vinculado ao trojan PlugX em setembro de 2023, ao gastar US$7 para adquirir o endereço IP atrelado a uma variante do malware com capacidades de propagar de maneira semelhante a um worm via drives flash comprometidos.
Um monitoramento mais próximo do endereço IP em sinkhole (45.142.166[.]112) revelou a presença do worm em mais de 170 países, abrangendo 2,49 milhões de endereços IP únicos em um período de seis meses.
A maioria das infecções foi detectada na Nigéria, Índia, China, Irã, Indonésia, Reino Unido, Iraque, EUA, Paquistão e Etiópia.
"Muitas nações, excluindo a Índia, são participantes da Iniciativa Belt and Road da China e possuem, na maioria delas, litorais onde os investimentos em infraestrutura chinesa são significativos", disse a Sekoia.
Vários países afetados estão localizados em regiões de importância estratégica para a segurança da Iniciativa Belt and Road.
Este worm foi desenvolvido para coletar inteligência em vários países sobre as preocupações estratégicas e de segurança associadas à Iniciativa Belt and Road, principalmente em seus aspectos marítimos e econômicos.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...