Agências dos EUA alertam sobre ciberataques patrocinados pela China

Agências de segurança e inteligência dos Estados Unidos emitiram um alerta com informações sobre como atores cibernéticos patrocinados pelo Estado da República Popular da China continuam explorando vulnerabilidades publicamente conhecidas para comprometer infraestruturas de empresas de telecomunicações e provedores de serviços de rede. O comunicado lançado pela Cybersecurity and Infrastructure Security Agency (CISA), a National Security Agency (NSA) e o Federal Bureau of Investigation (FBI) Agência de Segurança Nacional (NSA) lista as vulnerabilidades associadas aos dispositivos de rede explorados desde 2020.

Segundo o alerta, agentes patrocinados pelo governo chinês exploram equipamentos de rede vulneráveis, como roteadores e dispositivos NAS (Network Attached Storage) para servirem  como pontos de acesso para direcionar tráfego de comando e controle (C2) e atuar como intermediários para conduzir invasões de redes. Em geral, esses dispositivos são frequentemente ignorados pelos esquemas de ciberdefesa, que muitas vezem lutam para manter em dia a rotina de instalação de patches para dispositivos de endpoint.

Desde 2020, esses atores vêm realizando campanhas generalizadas para explorar rapidamente vulnerabilidades de segurança identificadas publicamente, também conhecidas por Common Vulnerabilities and Exposures (CVEs). A técnica usada tem permitido ganhar acesso às contas das vítimas usando código disponível publicamente empregado contra serviços de redes privadas virtuais (VPN) ou aplicações voltadas para o público.

Além disso, as agências avisam que esses atores também estão evoluindo e adaptando suas táticas para contornar as atuais defesas das redes. Foi observado que agentes mal-intencionados monitoram as contas e ações dos sistemas defensores de redes e modificam as campanhas em andamento conforme necessário para permanecerem indetectáveis. Em geral, combinam um conjunto personalizados de ferramentas disponíveis publicamente para ocultar suas atividades, misturando-se a ruídos ou tarefas normais das redes.

As vulnerabilidades e exposições listadas a seguir são as CVEs usadas contra equipamentos de rede mais frequentemente explorados por agentes cibernéticos patrocinados pela China desde 2020, segundo as agências norte-americanas.

Esses agentes patrocinados pelo governo chinês frequentemente utilizam ferramentas de código aberto para reconhecer e verificar vulnerabilidades. Utilizam software de código aberto específico para roteadores, por exemplo, RouterSploit (para dispositivos embarcados) e RouterScan (para varredura de endereços IP em busca de vulnerabilidades) para identificar marcas, modelos e vulnerabilidades conhecidas.

As agências norte-americanas pedem que organizações governamentais e empresas sigam as recomendações sugeridas para incrementar suas posturas e reduzir o risco de invasão às suas redes críticas.

Roubo de propriedade intelectual

Ainda que campanhas que exploram vulnerabilidades ganhem, com frequência, a atenção da mídia, há ataques que passam despercebidos e costumam ser mais insidiosos e geram muito mais prejuízos financeiros. Esse alerta veio à tona em maio passado, na forma de uma pesquisa da Cybereason que revelou um ataque desse tipo, considerado obra do grupo chinês APT Winnti.

A Cybereason informou o FBI e o Departamento de Justiça (DOJ) dos Estados Unidos sobre a investigação apelidada de Operação CuckooBees. Durante anos, essa campanha operou sem ser detectada, desviando propriedade intelectual e dados confidenciais.

A equipe da Cybereason publicou dois relatórios – um examinando táticas e técnicas empregadas na campanha, e outro com uma análise mais detalhada do malware e das atividades de exploração realizadas.

A descoberta dessa campanha foi feita durante investigações de várias invasões direcionadas a empresas de tecnologia e manufatura na América do Norte, Europa e Ásia. As ações criminosas passaram despercebidas desde, pelo menos, 2019. Estima-se que o grupo conseguiu roubar centenas de gigabytes em dados, sendo que os invasores visavam propriedade intelectual que incluíam documentos confidenciais, projetos, fórmulas e dados proprietários relacionados à manufatura. Também coletava informações que poderiam ser usadas em futuros ciberataques cibernéticos, como detalhes sobre unidades de negócios, arquitetura de rede, contas e credenciais de usuários, e-mails de funcionários e dados de clientes.

O grupo Winnti APT ao qual os pesquisadores da Cybereason atribuem à Operação CuckooBees com um grau de confiança moderado a alto, também é conhecido como APT 41, BARIUM e Blackfly, e é patrocinado pelo governo chinês por sua discrição, sofisticação e foco em roubar segredos tecnológicos.

A Cybereason comenta que é difícil estimar o número exato de empresas afetadas pela Operação CuckooBees devido à complexidade, à discrição e à sofisticação dos ataques.