China ataca routers domésticos e empresariais

Numa campanha de ataque de grande escala sediada na China, hackers estão a comprometer uma série de routers domésticos e empresariais. A National Agency for Information Systems Security (ANSSI) alertou para as operações cibercriminosas do Estado chinês que estão a ser levadas a cabo por um grupo de hackers conhecido como Advanced Persistent Threat 31 (APT31), Zirconium, Panda, entre outros - e que tem como alvo organizações francesas. 

“A ANSSI está a lidar com uma grande campanha de intrusão que afeta várias entidades francesas”, anunciou um consultor da ANSSI, revelando que “os ataques ainda estão em andamento e são liderados por um grupo conhecido publicamente como APT31. A partir das nossas investigações, percebemos que o agente da ameaça utiliza uma rede de routers domésticos comprometidos como caixas de retransmissão operacionais para realizar o reconhecimento furtivo, bem como os ataques”.

O Centro Nacional de Cibersegurança britânico afirma ainda que o APT31 é, alegadamente, um dos três grupos de cibercriminosos apoiados pelo governo chinês, que participaram num recente ataque aos servidores Microsoft Exchange. Segundo a empresa FireEye, historicamente, o grupo executou campanhas de espionagem a organizações governamentais financeiras, aeroespaciais e de defesa, bem como empresas dos setores de tecnologia, construção, engenharia, telecomunicações, media e seguros.

O alerta inclui indicadores de ameaça para que as organizações possam perceber se constituem alvos da campanha, que incluem 161 endereços IP. Contudo, não é claro se os endereços pertencem a routers comprometidos ou a outros dispositivos conectados à Internet utilizados nos ataques. Um gráfico criado por Will Thomas, investigador da empresa Cyjax, indica que os países com a maior concentração de IP comprometidos são a Rússia, Egito, Marrocos, Tailândia e os Emirados Árabes Unidos. Nenhum dos endereços está localizado em países da Europa Ocidental, incluindo França. 

Thomas explica que “o APT31 normalmente recorre a routers pwned em determinados países como o salto final para evitar suspeitas, mas nesta campanha, a menos que [a agência de segurança francesa] CERT-FR os tenha omitido, eles não estão o estão a fazer aqui”, e acrescenta, “a outra dificuldade aqui é que alguns dos routers provavelmente também serão comprometidos por outros invasores”.

Numa publicação do Twitter, Bem Koehl, analista de ameaças da Microsoft, disse que o “Zirconium parece operar várias redes de routers para facilitar as suas ações. Eles são colocados em camadas e usados estrategicamente” e que “historicamente, fizeram a abordagem clássica ‘dnsname -> ip’ para comunicações C2. Desde então, mudaram esse tráfego para a network do router. Isso permite-lhes flexibilidade para manipular o destino do tráfego em várias camadas, ao mesmo tempo que atrasa os esforços dos elementos de deteção”.