·
Numa operação ofensiva e contraofensiva da Sophos
com múltiplos adversários interligados na China, a empresa concluiu que, após a
sua resposta bem-sucedida aos ataques iniciais, os adversários intensificaram
os esforços com operadores mais experientes. Descobriu-se, assim, um vasto
ecossistema de adversários.
A Sophos, líder global em soluções
de segurança inovadoras que vencem os ciberataques, lançou o relatório “Pacific Rim”, que
detalha as suas operações defensivas e contraofensivas ao longo dos últimos
cinco anos com vários adversários de estados-nação interligados, localizados
na China, cujo alvo eram dispositivos periféricos, incluindo as Firewalls da
Sophos.
Os atacantes recorreram a diversas campanhas com novos exploits e
malware personalizado para instalar ferramentas para realizarem vigilância,
sabotagem e ciberespionagem, bem como táticas, ferramentas e procedimentos
(TTPs) sobrepostos com grupos de estados-nação chineses conhecidos, incluindo Volt Typhoon, APT31 e APT41. Os
adversários tinham como alvo pequenas e grandes infraestruturas críticas e entidades
governamentais, principalmente no Sul e Sudeste Asiático, incluindo
fornecedores de energia nuclear, o aeroporto da capital de um país, um hospital
militar, aparelho de segurança do Estado e ministérios de um governo central.
Na operação Pacific Rim, a Sophos X-Ops, a unidade de cibersegurança e
de inteligência de ameaças da empresa, trabalhou para neutralizar os movimentos
dos adversários e desenvolveu continuamente ações de defesa e contraofensivas. Depois
de a Sophos ter respondido com sucesso aos ataques iniciais, os adversários
intensificaram os seus esforços e trouxeram operadores mais experientes.
Subsequentemente, a Sophos descobriu um vasto ecossistema de adversários.
Embora a Sophos tenha, já desde 2020, divulgado detalhes sobre campanhas
associadas a esta operação, incluindo Cloud Snooper
e Asnarök,
partilha agora a análise geral da investigação para aumentar a sensibilização
para a persistência
dos adversários do estado-nação chinês e o seu hiperfoco em comprometer
dispositivos periféricos, sem patches e em fim de vida (EOL), muitas vezes através
de exploits de dia zero que estão a criar para esses dispositivos. A
Sophos está também a encorajar todas as organizações a aplicarem urgentemente
patches para as vulnerabilidades descobertas em qualquer um dos seus
dispositivos com acesso à Internet, e a migrarem quaisquer dispositivos mais
antigos não suportados para modelos atuais. A Sophos atualiza regularmente
todos os seus produtos suportados com base em novas ameaças e indicadores de
compromisso (IoCs) para proteger os clientes. Os clientes da Sophos Firewall
estão protegidos através de hotfixes rápidos que estão agora ativados
por defeito.
“A realidade é que os dispositivos no edge tornaram-se
alvos muito atrativos para os grupos de estados-nação chineses, como o Volt
Typhoon e outros, que procuram construir caixas de retransmissão operacionais
(ORB) para encobrirem e apoiarem a sua atividade. Isto inclui apontarem
diretamente para uma organização para fins de espionagem ou, indiretamente, tirarem
partido de quaisquer pontos fracos para ataques posteriores – tornando-os
essencialmente danos colaterais. Mesmo as organizações que não são alvos estão
a ser atingidas. Os dispositivos de rede concebidos para as empresas são alvos
naturais para estes fins – são potentes, estão sempre ligados e têm uma conectividade
constante,” afirmou Ross McKerchar, CISO da Sophos. “Quando um grupo que
procurava construir uma rede global de ORBs se dirigiu a alguns dos nossos
dispositivos, respondemos aplicando as mesmas técnicas de deteção e resposta
que utilizamos para defender os nossos endpoints empresariais e dispositivos de
rede. Isto permitiu-nos neutralizar várias operações e tirar partido de um
valioso fluxo de informações sobre ameaças que aplicámos para proteger os
nossos clientes – tanto de futuros ataques generalizados, como de operações
altamente direcionadas.”
Destaques do Relatório
- A 4 de dezembro de 2018, um computador com poucos privilégios ligado a um ecrã suspenso começou a analisar a rede Sophos – aparentemente de forma individual – na sede da Cyberoam – uma empresa que a Sophos adquiriu em 2014 – na Índia. A Sophos encontrou uma carga útil que escutava silenciosamente o tráfego de internet especializado que entrava no computador e que continha um novo tipo de backdoor e um rootkit complexo – o “Cloud Snooper”.
- Em abril de 2020, depois de várias organizações terem reportado uma interface de utilizador que apontava para um domínio com “Sophos” no seu nome, a Sophos trabalhou com as autoridades europeias, que localizaram e confiscaram o servidor que os adversários utilizaram para implementar cargas úteis maliciosas no que a Sophos mais tarde apelidou de Asnarök. A Sophos neutralizou o Asnarök, que conseguiu atribuir à China, assumindo o controlo do canal de comando e controlo (C2) do malware. Isso também permitiu à Sophos neutralizar uma onda planeada de ataques de botnet.
- Após o Asnarök, a Sophos avançou nas suas operações de inteligência, criando um programa adicional de monitorização de agentes de ameaças focado na identificação e perturbação de adversários que procuram explorar os dispositivos Sophos implementados em ambientes de clientes. O programa foi construído utilizando uma combinação de inteligência de código aberto, análise da web, monitorização de telemetria e implementações de kernel direcionados nos dispositivos de pesquisa dos atacantes.
- Em seguida, os atacantes mostraram um nível crescente de persistência, melhorando as suas táticas e implementando malware cada vez mais furtivo. No entanto, utilizando o seu programa de monitorização de agentes de ameaças, bem como capacidades melhoradas de recolha de telemetria, a Sophos conseguiu antecipar-se a vários ataques e obter uma cópia de um kit de arranque UEFI e de exploits personalizados antes que pudessem ser amplamente implementados.
- Alguns meses mais tarde, a Sophos conectou alguns dos ataques a um adversário que demonstrou ter ligações à China e ao Instituto de Investigação Double Helix da Sichuan Silence Information Technology, na região de Chengdu daquele país.
“Os avisos recentes da CISA tornaram claro que os
grupos de Estados-nação chineses são agora uma ameaça permanente para as
infraestruturas críticas das nações,” continuou Ross McKerchar. “O que
tendemos a esquecer é que as pequenas e médias empresas – que constituem a
maior parte da cadeia de abastecimento das infraestruturas críticas – são
alvos, uma vez que são frequentemente os elos fracos da cadeia. Infelizmente,
estas empresas têm muitas vezes menos recursos para se defenderem contra
ameaças tão sofisticadas. Para complicar ainda mais a situação, há uma
tendência destes adversários para se instalarem e se entrincheirarem, tornando
difícil a sua expulsão. O modus operandi dos adversários localizados na China é
criar persistência a longo prazo e ataques complexos e encobertos. Não vão
parar até que sejam detidos.”
Declarações de especialistas do setor sobre o
Relatório “Pacific Rim” da Sophos
“Através da JCDC, a CISA obtém e partilha informações
cruciais sobre os desafios de cibersegurança que enfrentamos, incluindo as
táticas e técnicas avançadas utilizadas pelos cibercriminosos patrocinados pelo
Estado da República Popular da China (RPC). Os conhecimentos especializados de
parceiros como a Sophos, e relatórios como este ‘Pacific Rim’, oferecem à
comunidade de cibersegurança global mais informações sobre a evolução dos
comportamentos da RPC. Trabalhando lado a lado, estamos a ajudar as equipas de
ciberdefesa a compreender a escala e a exploração generalizada dos dispositivos
de rede no edge, bem como a implementar estratégias de mitigação,” disse Jeff Greene,
Executive Assistant Director for Cibersecuity da CISA. “A CISA continua
a enfatizar como as classes de vulnerabilidades, incluindo injeções de SQL e
vulnerabilidades de segurança de memória, continuam a ser exploradas em massa.
Exortamos os fabricantes de software a analisarem os nossos recursos Secure by
Design e, tal como a Sophos fez neste caso, a pôr em prática os seus
princípios. Encorajamos os outros a que assumam o compromisso e revejam os
nossos alertas sobre como eliminar classes comuns de defeitos.”
“Muitos fornecedores de cibersegurança levam a cabo
operações de investigação de adversários, mas poucos são capazes de o fazer com
sucesso contra um conjunto tão desafiador de adversários de estado-nação e por
um período de tempo tão longo,” realçou Eric Parizo, Managing Principal Analyst do
grupo de investigação de cibersergurança da Omdia. “A Sophos tirou o
máximo partido de uma oportunidade única e deve ser elogiada por proporcionar
pesquisas e conclusões táticas que vão ajudar os seus cliente a defender-se
melhor, agora e no futuro.”
“No NCSC-NL, uma das nossas tarefas é partilhar
informações e conectar organizações. Facilitar a comunicação e a cooperação
entre organizações nacionais e internacionais é de grande importância para
melhorar a ciberresiliência. Estamos satisfeitos por termos podido contribuir
para esta investigação com a Sophos,” acrescentou Hielke Bontius, Head of Operations do
NCSC-NL.
Conselhos para as equipas de defesa
As organizações devem esperar que todos os dispositivos com acesso à Internet sejam alvos privilegiados para os adversários de estados-nação, especialmente os dispositivos em infraestruturas críticas. A Sophos encoraja as empresas a levarem a cabo as seguintes ações para reforçarem a sua postura de segurança:
- Minimizar os serviços e dispositivos com acesso à Internet, quando possível;
- Dar prioridade, com urgência, à aplicação de patches para dispositivos com acesos à Internet e monitorizar esses dispositivos;
- Permitir que os hotfixes para dispositivos no edge sejam permitidos e aplicados automaticamente;
- Colaborar com as autoridades, parceiros público-privados e o governo para partilhar e agir sobre IoCs relevantes;
- Criar um plano para a forma como a sua organização lida com dispositivos em fim de vida.
“Precisamos de trabalhar de forma colaborativa entre
os setores público e privado, as autoridades, os governos e o setor da
segurança, de forma a partilhar o que sabemos sobre estas operações
adversárias. Ter como alvo os mesmos dispositivos no edge que são utilizados
para proteger as redes é uma tática ousada e inteligente,” concluiu Ross
McKerchar. “As organizações, os parceiros de canal e os fornecedores de
serviços geridos têm de compreender que estes dispositivos são os principais
alvos dos atacantes e devem garantir que estão devidamente protegidos e que os
patches críticos são aplicados assim que são lançados. De facto, sabemos que os
atacantes estão ativamente à procura de dispositivos EOL. Os fornecedores
também desempenham um papel importante neste domínio: têm de ajudar os clientes
através do suporte com hotfixes fiáveis e bem testados, facilitando a
atualização a partir de plataformas EOL, refatorando ou removendo
sistematicamente o código antigo que pode conter vulnerabilidades persistentes,
melhorando continuamente os designs seguros por defeito para aliviar o cliente
do ónus do endurecimento, e monitorizando a integridade dos dispositivos
implementados.”
Post A Comment:
0 comments: