Hackers chineses suspeitos em ataques mirando dispositivos de rede
7 de Maio de 2024

Uma recente campanha de espionagem cibernética, que tinha como alvo dispositivos de rede perimetral de diversos fornecedores, incluindo a Cisco, pode ter sido obra de atores vinculados à China, segundo novas descobertas da empresa de gerenciamento de superfície de ataque, Censys.

Nomeada ArcaneDoor, a atividade teria começado por volta de julho de 2023, com o primeiro ataque confirmado contra uma vítima não nomeada detectada no início de janeiro de 2024.

Os ataques direcionados, orquestrados por um ator estadual patrocinado anteriormente não documentado e suspeito de ser sofisticado, rastreado como UAT4356 (também conhecido como Storm-1849), incluíram a implantação de dois malwares personalizados denominados Line Runner e Line Dancer.

O caminho de acesso inicial utilizado para facilitar as intrusões ainda não foi descoberto, embora o adversário tenha sido observado explorando duas falhas já corrigidas em Cisco Adaptive Security Appliances ( CVE-2024-20353 e CVE-2024-20359 ) para persistir com o Line Runner.

Dados de telemetria coletados como parte da investigação revelaram o interesse do ator de ameaças em servidores Microsoft Exchange e dispositivos de rede de outros fornecedores, disse a Talos no mês passado.

Censys, que examinou mais a fundo os endereços IP controlados pelo ator, disse que os ataques apontam para o possível envolvimento de um ator de ameaça baseado na China.

Isso se baseia no fato de que quatro dos cinco hosts online apresentando o certificado SSL identificado como associado à infraestrutura dos atacantes estão associados aos sistemas autônomos (AS) Tencent e ChinaNet.

Além disso, entre os endereços IP gerenciados pelo ator de ameaça, há um host baseado em Paris (212.193.2[.]48) com o sujeito e emissor definidos como "Gozargah", que provavelmente se refere a uma conta do GitHub que hospeda uma ferramenta anticensura chamada Marzban.
O software, por sua vez, é "alimentado" por outro projeto de código aberto chamado Xray que possui um site escrito em chinês.

Isso implica que "alguns desses hosts estavam executando serviços associados a softwares anticensura provavelmente destinados a contornar o Grande Firewall" e que "um número significativo desses hosts está baseado em redes chinesas proeminentes", sugerindo que o ArcaneDoor poderia ser obra de um ator chinês, teorizou a Censys.

Atores estaduais afiliados à China têm, nos últimos anos, cada vez mais visado dispositivos de borda, explorando falhas zero-day em Barracuda Networks, Fortinet, Ivanti e VMware para infiltrar-se em alvos de interesse e implantar malware para acesso encoberto persistente.

O desenvolvimento surge enquanto a empresa francesa de cibersegurança Sekoia disse que conseguiu colocar em sinkhole um servidor de comando e controle (C2) vinculado ao trojan PlugX em setembro de 2023, ao gastar US$7 para adquirir o endereço IP atrelado a uma variante do malware com capacidades de propagar de maneira semelhante a um worm via drives flash comprometidos.

Um monitoramento mais próximo do endereço IP em sinkhole (45.142.166[.]112) revelou a presença do worm em mais de 170 países, abrangendo 2,49 milhões de endereços IP únicos em um período de seis meses.

A maioria das infecções foi detectada na Nigéria, Índia, China, Irã, Indonésia, Reino Unido, Iraque, EUA, Paquistão e Etiópia.

"Muitas nações, excluindo a Índia, são participantes da Iniciativa Belt and Road da China e possuem, na maioria delas, litorais onde os investimentos em infraestrutura chinesa são significativos", disse a Sekoia.

Vários países afetados estão localizados em regiões de importância estratégica para a segurança da Iniciativa Belt and Road.

Este worm foi desenvolvido para coletar inteligência em vários países sobre as preocupações estratégicas e de segurança associadas à Iniciativa Belt and Road, principalmente em seus aspectos marítimos e econômicos.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...