Operação da Sophos descobre vasto ecossistema de adversários na China

A Sophos lançou o relatório “Pacific Rim” que detalha as suas operações defensivas e contraofensivas ao longo dos últimos cinco anos com vários adversários de estados-nação interligados, localizados na China, cujo alvo eram dispositivos periféricos, incluindo as firewalls da Sophos.

Os atacantes recorreram a diversas campanhas com novos exploits e malware personalizado para instalar ferramentas para realizarem vigilância, sabotagem e ciberespionagem, bem como táticas, ferramentas e procedimentos (TTP) sobrepostos com grupos de estados-nação chineses conhecidos, incluindo Volt Typhoon, APT31 e APT41. Os adversários tinham como alvo pequenas e grandes infraestruturas críticas e entidades governamentais, principalmente no Sul e Sudeste Asiático, incluindo fornecedores de energia nuclear, o aeroporto da capital de um país, um hospital militar, aparelho de segurança do Estado e ministérios de um governo central.

Na operação Pacific Rim, a Sophos X-Ops, a unidade de cibersegurança e de inteligência de ameaças da empresa, trabalhou para neutralizar os movimentos dos adversários e desenvolveu continuamente ações de defesa e contraofensivas. Depois de a Sophos ter respondido com sucesso aos ataques iniciais, os adversários intensificaram os seus esforços e trouxeram operadores mais experientes. Subsequentemente, a Sophos descobriu um vasto ecossistema de adversários.

Embora a Sophos tenha, já desde 2020, divulgado detalhes sobre campanhas associadas a esta operação, incluindo Cloud Snooper e Asnarök, partilha agora a análise geral da investigação para aumentar a sensibilização para a persistência dos adversários do estado-nação chinês e o seu hiperfoco em comprometer dispositivos periféricos, sem patches e em fim de vida (EOL), muitas vezes através de exploits de dia zero que estão a criar para esses dispositivos. A Sophos está também a encorajar todas as organizações a aplicarem urgentemente patches para as vulnerabilidades descobertas em qualquer um dos seus dispositivos com acesso à Internet, e a migrarem quaisquer dispositivos mais antigos não suportados para modelos atuais. A Sophos atualiza regularmente todos os seus produtos suportados com base em novas ameaças e indicadores de compromisso (IoCs) para proteger os clientes. Os clientes da Sophos Firewall estão protegidos através de hotfixes rápidos que estão agora ativados por defeito.

“A realidade é que os dispositivos no edge tornaram-se alvos muito atrativos para os grupos de estados-nação chineses, como o Volt Typhoon e outros, que procuram construir caixas de retransmissão operacionais (ORB) para encobrirem e apoiarem a sua atividade. Isto inclui apontarem diretamente para uma organização para fins de espionagem ou, indiretamente, tirarem partido de quaisquer pontos fracos para ataques posteriores – tornando-os essencialmente danos colaterais. Mesmo as organizações que não são alvos estão a ser atingidas. Os dispositivos de rede concebidos para as empresas são alvos naturais para estes fins – são potentes, estão sempre ligados e têm uma conectividade constante”, afirmou Ross McKerchar, CISO da Sophos, em comunicado. “Quando um grupo que procurava construir uma rede global de ORBs se dirigiu a alguns dos nossos dispositivos, respondemos aplicando as mesmas técnicas de deteção e resposta que utilizamos para defender os nossos endpoints empresariais e dispositivos de rede. Isto permitiu-nos neutralizar várias operações e tirar partido de um valioso fluxo de informações sobre ameaças que aplicámos para proteger os nossos clientes – tanto de futuros ataques generalizados, como de operações altamente direcionadas”.

A 4 de dezembro de 2018, um computador com poucos privilégios ligado a um ecrã suspenso começou a analisar a rede Sophos – aparentemente de forma individual – na sede da Cyberoam – uma empresa que a Sophos adquiriu em 2014 – na Índia. A Sophos encontrou uma carga útil que escutava silenciosamente o tráfego de internet especializado que entrava no computador e que continha um novo tipo de backdoor e um rootkit complexo – o “Cloud Snooper”.

Em abril de 2020, depois de várias organizações terem reportado uma interface de utilizador que apontava para um domínio com “Sophos” no seu nome, a Sophos trabalhou com as autoridades europeias, que localizaram e confiscaram o servidor que os adversários utilizaram para implementar cargas úteis maliciosas no que a Sophos mais tarde apelidou de Asnarök. A Sophos neutralizou o Asnarök, que conseguiu atribuir à China, assumindo o controlo do canal de comando e controlo (C2) do malware. Isso também permitiu à Sophos neutralizar uma onda planeada de ataques de botnet.

Após o Asnarök, a Sophos avançou nas suas operações de inteligência, criando um programa adicional de monitorização de agentes de ameaças focado na identificação e perturbação de adversários que procuram explorar os dispositivos Sophos implementados em ambientes de clientes. O programa foi construído utilizando uma combinação de inteligência de código aberto, análise da web, monitorização de telemetria e implementações de kernel direcionados nos dispositivos de pesquisa dos atacantes.

Em seguida, os atacantes mostraram um nível crescente de persistência, melhorando as suas táticas e implementando malware cada vez mais furtivo. No entanto, utilizando o seu programa de monitorização de agentes de ameaças, bem como capacidades melhoradas de recolha de telemetria, a Sophos conseguiu antecipar-se a vários ataques e obter uma cópia de um kit de arranque UEFI e de exploits personalizados antes que pudessem ser amplamente implementados.

Alguns meses mais tarde, a Sophos conectou alguns dos ataques a um adversário que demonstrou ter ligações à China e ao Instituto de Investigação Double Helix da Sichuan Silence Information Technology, na região de Chengdu daquele país.

Em março de 2022, um investigador de segurança anónimo reportou à Sophos uma vulnerabilidade de dia zero de execução remota de código, designada CVE-2022-1040, como parte do programa de recompensas de bugs da empresa. Uma investigação mais aprofundada revelou que esta CVE já estava a ser explorada em várias operações – operações que a Sophos conseguiu então impedir que afetassem os clientes. Após uma análise mais detalhada, a empresa determinou que a pessoa que reportou o exploit podia ter tido uma ligação aos adversários. Esta foi a segunda vez que a Sophos recebeu uma “dica” suspeita sobre um exploit antes de este ser utilizado de forma maliciosa.