A Check Point Research realça que grupos de hackers apoiados pelo Governo chinês, como o Volt Typhoon, “têm um historial de campanhas de ciberespionagem sofisticadas” e mostra como os dispositivos de rede são um ponto fulcral da sua estratégia de ataque.
Recentemente, a Microsoft alertou que o grupo de hackers Volt Typhoon, apoiado pelo Governo chinês, tem como “alvo” infraestruturas críticas nos Estados Unidos. Os investigadores da Check Point Research (CPR) relatam que estes últimos ataques são uma continuação de tendências anteriormente identificadas.
Em comunicado, os especialistas explicam que acompanharam de perto uma série de ataques contra entidades europeias de negócios estrangeiros. As campanhas, associadas a um grupo APT chinês, designado pelos investigadores como Camaro Dragon, partilham semelhanças com atividades levadas a cabo anteriormente por outros grupos apoiados pelo Governo chinês, como o Mustang Panda.
Os ataques de grupos de ciberespionagem sediados na China não são propriamente uma novidade para a comunidade de cibersegurança. Aliás, “os grupos APT chineses, como o Volt Typhoon, têm um historial de campanhas de ciberespionagem sofisticadas”, afirma a CPR.
Recolher informações estratégicas, causar disrupções direcionadas ou criar pontos de apoio em redes para futuras operações são as principais motivações destes grupos. No aviso deixado pela Microsoft são apontadas várias técnicas e a CPR aponta para uma em específico, que tem foco na exploração de dispositivos de rede, como routers.
A análise realizada pelos investigadores permitiu revelar um implante de firmware malicioso concebido para routers da TP-Link. Entre os componentes maliciosos encontram-se, por exemplo, uma backdoor personalizada, que toma o nome “Horse Shell”, que dá os cibercriminosos a possibilidade de manterem um acesso persistente e de construírem uma infraestrutura anónima, além de permitir o movimento em redes comprometidas.
Os Estados Unidos não são o único “alvo” destes grupos. Ainda em março, a CPR tinha revelado ataques de espionagem de origem chinesa contra entidades governamentais em países do sudeste asiático, como Vietname, Tailândia ou Indonésia.
Os investigadores realçam que, nos últimos anos, têm assistido a um crescente interesse por parte de grupos semelhantes em comprometer dispositivos de topo para criar infraestruturas de C&C resilientes e anónimas, conquistando uma posição em determinadas redes.
Ao comprometerem os dispositivos de rede, que são frequentemente considerados o perímetro do património digital de uma organização, os cibercriminosos podem combinar o seu tráfego com comunicações legítimas, o que torna o processo de deteção ainda mais complicado.
A estratégia complementa também as táticas usadas por grupos como o Volt Typhoon, que, em vez de recorrerem a malware, que seria detetado pelos sistemas de segurança, optam por ferramentas de administração de rede incorporadas. Além disso, as técnicas permitem que os grupos APT mantenham a persistência na rede.
Para os investigadores da CPR, a descoberta de novos ataques de espionagem realça a importância de tomar medidas de proteção adicionais. A atualização regular do firmware e do software dos routers, assim como de outros dispositivos, é fundamental.
(Teksapo)