O Federal Bureau of Investigation (FBI) dos EUA pediu a ajuda do público em relação às investigações que envolvem violações de equipamentos e redes de computadores de empresas e agências governamentais.
“O Advanced Persistent Threat Group supostamente criou e implantou o malware (CVE-2020-12271) como parte de uma série generalizada de invasões indiscriminadas de computadores projetadas para extrair dados confidenciais de firewalls em todo o mundo”, disse a agência.
“O FBI está buscando informações sobre a identidade dos indivíduos envolvidos nesta intrusão cibernética”.
O desenvolvimento ocorre após uma série de relatórios publicados pelo fornecedor de segurança cibernética Sophos detalhando um conjunto de campanhas entre 2018 e 2023 que exploraram sua infraestrutura de ponta para implantar malware personalizado ou redirecioná-lo como proxies para evitar a detecção.
A operação desonesta, codinome Pacific Rim e projetada para vigilância, sabotagem e espionagem cibernética, foi atribuída a vários grupos patrocinados pelo governo chinês, incluindo APT31, APT41 e Volt Typhoon. O primeiro ataque começou no final de 2018, quando um ataque cibernético teve como alvo a subsidiária indiana da Sophos, Cyberoam.
“Os inimigos têm como alvo infra-estruturas e instalações governamentais importantes, pequenas e grandes, especialmente no Sul e Sudeste Asiático, incluindo fornecedores de energia nuclear, o aeroporto nacional, o hospital militar, os serviços de segurança do Estado e os serviços do governo central”, disse Sophos.
Alguns dos ataques em massa subsequentes foram identificados como explorando várias vulnerabilidades de dia zero nos firewalls Sophos – CVE-2020-12271, CVE-2020-15069, CVE-2020-29574, CVE-2022-1040 e CVE-2022 3236 – para comprometer dispositivos e entregar cargas tanto no firmware do dispositivo quanto naqueles localizados na rede LAN da organização.
“A partir de 2021, os adversários parecem estar a mudar o seu foco de ataques indiscriminados generalizados para ataques altamente direccionados e ‘hands-on-keyboard’ que se concentram em atacar entidades específicas: agências governamentais, infra-estruturas críticas, organizações de investigação e desenvolvimento, prestadores de cuidados de saúde, retalhistas , finanças, organizações militares e sociedade civil, especialmente na região Ásia-Pacífico”, afirmou.
Em meados de 2022, os invasores estariam concentrando seus esforços em obter acesso profundo a certas organizações, evitando a detecção e coletando mais informações executando comandos manuais e liberando malware como Asnarök, Gh0st RAT e Pygmy Goat, um alto- back-end do cabo final. por fornecer acesso remoto contínuo aos Firewalls Sophos XG e outros dispositivos que possam estar executando Linux.
“Embora não contenha nenhuma técnica nova, o Pygmy Goat é sofisticado de uma forma que permite ao ator interagir com ele sob demanda, enquanto atende ao tráfego normal da rede”, disse o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC).
“O código em si é limpo, com funções curtas e bem organizadas que facilitam a expansão futura, e os erros são verificados em todos os lugares, sugerindo que foi escrito por um engenheiro ou engenheiros qualificados.”
O backdoor, um novo rootkit que assume a forma de um objeto compartilhado (“libsophos.so”), foi entregue após a exploração CVE-2022-1040. A utilização do rootkit foi observada entre março e abril de 2022 num dispositivo governamental e num parceiro técnico, e em maio de 2022 numa máquina num hospital militar baseado na Ásia.
Diz-se que é obra de um ator de ameaça chinês perseguido pela Sophos como Tstark, que compartilha ligações com a Universidade de Ciência e Tecnologia Eletrônica da China (UESTC) em Chengdu.
Ele vem com “a capacidade de ouvir e responder a pacotes ICMP especialmente criados, que, quando recebidos por um dispositivo infectado, abrem um proxy SOCKS ou shell reverso para se conectar ao endereço IP escolhido por um invasor”.
A Sophos disse que está combatendo essas campanhas em seus estágios iniciais, instalando um implante de kernel sob medida nas máquinas de agentes de ameaças chineses para conduzir pesquisas de exploração maliciosa, incluindo máquinas de propriedade do Instituto de Pesquisa Double Helix da Sichuan Silence Information Technology, aparecendo assim. “uso de código remoto até então desconhecido” em julho de 2020.
Uma análise de acompanhamento em agosto de 2020 levou à descoberta de uma vulnerabilidade baixa para usar código de autenticação remota no componente do sistema operacional, acrescentou a empresa.
Além disso, a subsidiária Thoma Bravo disse ter visto um padrão de recebimento de relatórios de bugs “muito úteis, mas suspeitos” pelo menos duas vezes (CVE-2020-12271 e CVE-2022-1040) do que suspeita serem afiliados. em institutos de investigação baseados em Chengdu antes de serem brutalmente explorados.
As conclusões são importantes, sobretudo porque mostram que o trabalho eficaz de investigação e desenvolvimento sobre vulnerabilidade é realizado na província de Sichuan e transferido para antigos grupos patrocinados pelo governo chinês com diferentes objectivos, competências e estratégias pós-exploração.
“Com a Pacific Rim, vimos isso […] “uma série de desenvolvimentos de explorações fúteis relacionadas a instituições educacionais em Sichuan, China”, disse Chester Wisniewski. “Essas explorações parecem ser compartilhadas com invasores patrocinados pelo Estado, o que faz sentido para um país que autoriza tal compartilhamento por meio de suas leis de divulgação de vulnerabilidades. .”
O aumento da segmentação de dispositivos de rede de ponta também coincide com uma avaliação de ameaças do Centro Canadense de Segurança Cibernética (Cyber uma avaliação de ameaças canadense do Canadian Centre for Cyber interesses estratégicos, econômicos e estratégicos.
Também acusou os actores terroristas chineses de visarem o seu sector privado para obterem uma vantagem competitiva através da recolha de informações confidenciais e proprietárias, e de apoiarem uma campanha de “repressão internacional” que visa atingir os uigures, os tibetanos, os activistas pró-democracia e os apoiantes da independência de Taiwan.
Os atores chineses da ameaça “comprometeram e mantiveram o acesso a inúmeras redes governamentais nos últimos cinco anos, coletando comunicações e outras informações confidenciais”, afirmou. “Os atores da ameaça enviaram mensagens de e-mail com imagens de rastreamento aos destinatários para verificar a rede.”
