Malware é identificado após 10 anos circulando

Um malware altamente sofisticado esteve circulando por mais de uma década sem que fosse identificado. A descoberta foi feita por pesquisadores da Symantec que ressaltaram que o software malicioso Backdoor.Daxin parece estar sendo usado em uma longa campanha de espionagem contra governos e outros alvos associados a infraestruturas críticas.

O backdoor permite executar processos arbitrários e interagir com eles e, embora o conjunto de operações do Daxin seja restrito, seu poder está na comunicação e na capacidade de agir furtivamente.

Segundo a Symantec, há fortes evidências que o Daxin realize várias operações de comunicação e coleta de dados nos computadores infectados e tenha sido usado em novembro de 2021 por agentes vinculados à China contra governos e organizações de interesse estratégico para aquele país. Além disso, outras ferramentas associadas a espiões chineses foram encontradas em alguns dos mesmos computadores nos quais o Daxin foi implantado.

Embora os ataques do Daxin mais recentes tenham ocorrido no ano passado, a versão mais antiga conhecida do malware data de 2013 e incluiu todos os recursos avançados vistos nas variantes mais recentes. Para a Symantec, isso sugere que a praga já estivesse bem estabelecida há cerca de 10 anos.

O malware é o mais avançado entre os que pesquisadores da Symantec já identificaram em associação com a China. A praga virtual parece ser otimizada para se aprofundar nas redes das vítimas e extrair dados sem levantar suspeitas.

A Symantec está trabalhando com a CISA (Cybersecurity and Infrastructure Security Agency) para convocar os vários governos visados pelo Daxin a cooperarem na detecção e na correção das vulnerabilidades.

Modus operandi

O Backdoor Daxin, que se apresenta no formato de um driver para o kernel do Windows, parece se concentrar em técnicas de comunicação que se misturem ao tráfego normal das redes das vítimas. Especificamente, evita iniciar seus próprios serviços de rede e, em vez disso, utiliza serviços legítimos executados nos computadores infectados.

Daxin é capaz de se comunicar sequestrando conexões TCP/IP legítimas. Para fazer isso, monitora padrões do tráfego TCP de entrada. Sempre que algum desses padrões é detectado, desconecta o destinatário legítimo e assume a conexão. Em seguida, realiza uma troca de chaves personalizadas com o par remoto. Havendo troca de chaves bem-sucedida, abre-se um canal de comunicação criptografado para receber comandos e enviar respostas.

O uso de conexões TCP sequestradas pela Daxin oferece um alto grau de sigilo para a comunicação e ajuda a estabelecer conexões de rede mesmo quando há regras rígidas de firewall. Esse modus operandi também reduz as chances do backdoor de ser descoberto por sistemas que monitoram anomalias nos tráfegos de rede. Há também mensagens dedicadas que encapsulam pacotes de rede brutos a serem transmitidos pela placa de rede local.

Talvez o mais interessante do Daxin seja a capacidade de criar um canal de comunicação entre computadores infectados, na qual a lista de nós é fornecida pelo invasor em um único comando. Para cada nó, a mensagem inclui os detalhes necessários para estabelecer a comunicação, especificamente o endereço IP, seu número de porta TCP e as credenciais a serem usadas durante a troca de chave personalizada. Quando Daxin recebe essa mensagem, escolhe o próximo nó da lista. Em seguida, usa sua própria pilha TCP/IP para se conectar ao servidor TCP listado na entrada selecionada.

Fazer vários saltos entre nós das redes das vítimas para contornar firewalls e evitar levantar suspeitas é uma tática bem conhecida dos invasores, mas isso geralmente é feito em várias ações separadas. No caso do Daxin, esse processo é realizado em uma operação capaz de, em uma única tacada, invadir e se espalhar por redes bem protegidas.

As vítimas de Daxin incluem agências governamentais na Ásia e África, entre elas Ministérios da Justiça.