.
As intrusões do governo chinês nas redes de telecomunicações e noutras infra-estruturas críticas dos EUA este ano parecem assinalar uma mudança da espionagem cibernética habitual para a preparação para ataques destrutivos.
O FBI e outras agências federais dos EUA telefonaram em 2024 gabando-se de ter interrompido uma botnet chinesa composta por “centenas” de routers desatualizados com a intenção de invadir instalações de infraestrutura crítica dos EUA. Alerta de spoiler: o botnet está de volta.
Esta mesma equipa apoiada pelo governo também comprometeu a rede de serviços de emergência de pelo menos uma grande cidade dos EUA e tem realizado reconhecimento e enumeração de “múltiplas” empresas eléctricas americanas desde o início de 2023.
Logo após estas intrusões terem vindo à tona, os Feds começaram a emitir alertas muito públicos de que o Volt Typhoon estava a preparar-se para “causar estragos” na infra-estrutura americana e “causar o caos social” nos EUA.
“A escolha de alvos e padrão de comportamento do Volt Typhoon não é consistente com as operações tradicionais de espionagem cibernética ou de coleta de informações, e as agências de autoria dos EUA avaliam com alta confiança que os atores do Volt Typhoon estão se pré-posicionando em redes de TI para permitir o movimento lateral para ativos de TO para interromper funções”, alertaram as agências governamentais.
O público soube no final do ano que outra unidade de hackers de Pequim, chamada Salt Typhoon, havia invadido redes de telecomunicações americanas, no que um senador dos EUA chamou de “o pior hack de telecomunicações na história da nossa nação – de longe”.
De acordo com fontes do governo e da segurança da informação, os ataques continuam em andamento.
“Não podemos dizer com certeza que o adversário foi despejado, porque ainda não sabemos a extensão do que eles estão fazendo”, disse Jeff Greene, diretor-assistente executivo de segurança cibernética da CISA, a repórteres durante um briefing sobre o Salt Typhoon no início de dezembro. .
‘Toda organização deve ser avisada’
“Toda organização deveria encarar isso como um aviso de que existem entidades estatais hostis”, disse Adam Meyers, vice-presidente sênior de operações contra-adversárias da CrowdStrike. O Registro. “Se você está envolvido em qualquer grau de negócio que esteja vinculado ao ecossistema internacional mais amplo, ou se estiver fornecendo serviços de importância logística para infraestrutura crítica, você está na linha de fogo”.
A CrowdStrike rastreia 63 grupos diferentes ligados à China, e cerca de duas dúzias deles estão atualmente ativos, de acordo com Meyers. Em novembro, Meyers testemunhou perante uma comissão do Senado sobre como as ameaças cibernéticas do Reino Médio evoluíram nas últimas duas décadas.
Antes de 2015, estes ataques tendiam a ser “destruir e agarrar”, disse ele, observando que, ao longo dos anos, tornaram-se intrusões mais direcionadas que se concentram em indivíduos e informações de alto valor: fontes de segredos políticos e militares, e propriedade intelectual que possa promover os interesses nacionais da China.
Ainda mais preocupante é que pelo menos um desses grupos patrocinados pelo Estado, o Volt Typhoon, que CrowdStrike rastreia como “Vanguard Panda”, parece estar se pré-posicionando profundamente nas redes de infraestrutura crítica americanas, para que esteja pronto para ataques disruptivos ou destrutivos anteriores ou coincidentes. com atividades militares.
“A razão pela qual o Vanguard Panda atraiu tanta atenção foi que foi a primeira vez que houve um aspecto demonstrável de pré-posicionamento”, disse Meyers durante uma entrevista. “Seria como se os russos, nos anos 60, pensassem que iriam invadir os Estados Unidos. O seu pré-posicionamento seria para esconder esconderijos de armas e recursos aos quais pudessem aceder à medida que montavam a sua invasão nos EUA. .”
Seria como se os russos, nos anos 60, fossem invadir. Seu pré-posicionamento seria para esconder esconderijos de armas que pudessem acessar enquanto montavam sua invasão nos EUA.
Além disso, é improvável que a explosão da botnet no início deste ano tenha causado alguma perturbação na organização maior ou nos seus planos futuros, acrescentou.
“Interromper isso não afetou o Vanguard Panda”, disse Meyers. “Isso não afetou sua capacidade de acessar os alvos aos quais obtiveram acesso e continuaram a manter a persistência”.
Ele disse que duvida que o Volt Typhoon/Vanguard Panda estivesse executando a infraestrutura da botnet. “Esse era provavelmente outro grupo encarregado de fornecer infraestrutura de comunicações e, quando isso fosse interrompido, seria de se esperar que houvesse um caminho secundário que estaria em espera”, observou Meyers. “Eles não vão simplesmente deixar as coisas ao acaso. Se há um mecanismo primário que estão usando, então eles querem um secundário e um terciário.”
Antes de implantar o malware botnet KV em roteadores e outros dispositivos, o Volt Typhoon precisa invadir, o que geralmente envolve a exploração de bugs em firewalls, dispositivos VPN e servidores web, ou o abuso de configurações incorretas ou senhas fracas – às vezes inexistentes – nesses produtos.
Atividade pós-exploração do Volt Typhoon
A Tenable publicou no mês passado uma lista de alguns dos CVEs que a tripulação explorou no passado para obter acesso inicial. Isso inclui uma vulnerabilidade na interface de gerenciamento da web do software FatPipe WARP, IPVPN e MPVPN que permite que um invasor remoto e não autenticado carregue um arquivo para qualquer local no sistema de arquivos (CVE-2021-27860), uma falha crítica de desvio de autenticação no Zoho ManageEngine ADSelfService Plus (CVE-2021-40539), dois bugs críticos de buffer overflow baseados em heap no Fortinet FortiOS e FortiProxy (CVE-2022-42475 e CVE-2023-27997) e uma falha de upload de arquivo no Versa Director SD-WAN (CVE-2024-39717).
O Black Lotus Labs da Lumen Technologies alertou em agosto que o Volt Typhoon estava abusando da vulnerabilidade Versa CVE-2024-39717 para plantar shells da web personalizados para coleta de credenciais nas redes dos clientes e observou que esses ataques estão “provavelmente em andamento” contra sistemas não corrigidos.
“O que há de único no Volt Typhoon é a atividade pós-exploração”, disse o engenheiro de pesquisa da Tenable, Scott Caveza. O Registro. Ele não usa malware personalizado, que pode ser detectado mais facilmente por software antivírus, mas, em vez disso, usa credenciais e produtos de software legítimos para bisbilhotar e evitar a detecção.
Isso inclui ferramentas do Windows (cmd.exe, netsh e PowerShell) para execução de comandos e movimentação lateral, Mimikatz para extrair credenciais da memória, Remote Desktop Protocol (RDP) para se aprofundar nos sistemas internos e Windows Task Scheduler para estabelecer tarefas agendadas para acesso regular e persistente.
“Apenas executando comandos normais e binários que seriam encontrados em um sistema Windows para fazer reconhecimento e avançar pela rede”, disse Caveza. “É uma atividade muito furtiva e realmente demonstra a habilidade que esse grupo tem em escapar de pacotes de software de segurança e fazer o tráfego parecer aparentemente normal.”
Além do Volt Typhoon e de alguns outros grupos do governo chinês que utilizam técnicas furtivas, as chamadas técnicas de “viver fora da terra”, outro aspecto digno de nota das suas operações em curso visando indústrias críticas é a resposta muito ruidosa do governo dos EUA aos ataques. .
Pego no pote de biscoitos
O FBI, a CISA e outras agências governamentais não apenas soaram o alarme sobre os intrusos chineses, mas também publicaram um guia de caça a ameaças e listaram ações para mitigar a atividade do Volt Typhoon, incluindo a correção de sistemas voltados para a Internet, usando multi-sistemas resistentes a phishing. autenticação de fator e descarte de equipamentos desatualizados que não são mais suportados pelo fabricante.
“Número um, parabéns ao nosso governo”, disse o vice-presidente de inteligência da ZeroFox, Adam Darrah O Registro. “Aplaudo o governo dos Estados Unidos por ser mais ousado na divulgação dessas campanhas e dizer como evitar que isso seja um problema. É uma forma de crowdsourcing para a defesa nacional.”
Embora todas as principais agências de inteligência do mundo espionem governos adversários – e às vezes até amigos -, as operações cibernéticas da China este ano deveriam ser um “chamado de alerta” para as pessoas, acrescentou Darrah.
“A China tem sido historicamente muito cuidadosa e boa em não ser pega publicamente com a mão no pote de biscoitos militar americano”, disse ele. “Então, o que foi interessante para mim: primeiro, eles foram pegos. Número dois: foi divulgado. E número três: estou feliz em ver isso, porque é hora de parar de fingir que a China é um país pacífico que só quer roubar nossos IP por razões económicas e comerciais Isso não é verdade.”
Rafe Pilling, diretor de inteligência de ameaças da unidade de contra-ameaças da Secureworks, também destacou os esforços do governo dos EUA para encorajar as pessoas a mitigar a ameaça representada pelo Volt Typhoon. E agora apenas “a ameaça que foi representada hoje” com as atividades direcionadas de reconhecimento e espionagem, “mas talvez mais sobre a ameaça que representa no futuro – a atividade mais ampla e desconhecida que pode estar por aí”.
“Isso inclui avisos de pré-posicionamento e preparação para ataques futuros”.
A equipe de Pilling cobre uma gama de grupos de ameaças, desde organizações de crimes cibernéticos com motivação financeira até atacantes estatais, e a China “consistentemente está no topo de nossa lista de atores patrocinados pelo Estado”, disse ele. O Registro.
Os primeiros casos que a Securworks agora atribui ao Volt Typhoon (ele rastreia esta tripulação como Bronze Silhouette) ocorreram em junho e setembro de 2021.
Mas, na época, “tivemos uma série de incidentes aos quais respondemos para clientes envolvendo aquele grupo de ameaças e sobre os quais tínhamos um ponto de interrogação”, disse Pilling. “Eles não caíram em nenhum dos outros grupos que rastreamos, então colocamos um ponto de interrogação, ‘China?’ sobre esses incidentes.”
Só anos mais tarde, após esforços de partilha de informações com investigadores públicos e privados, “é que se vê que existe um conjunto mais amplo de atividades dirigidas a organizações no continente dos Estados Unidos até às empresas de telecomunicações em Guam”, acrescentou.
Mas mesmo em 2021, “a atividade que vimos certamente parecia operações do tipo acesso”, disse Pilling. “Depois de passar do estágio de acesso, você pode alcançar uma série de intenções, desde espionagem até pré-posicionamento para operações disruptivas. E elas não são mutuamente exclusivas.”
Embora as empresas de segurança e resposta a incidentes sejam chamadas após a ocorrência de um ataque, os defensores na linha da frente são aqueles que trabalham nos sectores da água, da rede eléctrica, do petróleo e do gás e de outros sectores críticos.
Defensores da linha de frente
Estes estão entre os clientes da Xona Systems de segurança de tecnologia operacional (OT), e o consenso é: “Há muito mais que poderia ser feito para proteger a infraestrutura crítica”, disse o COO Bill Cantrell. O Registro. “O tema predominante é que simplesmente não há financiamento suficiente.”
A maior preocupação entre os proprietários e operadores de infraestruturas críticas continua a ser a segurança física e a fiabilidade. “Essas coisas sempre estiveram na vanguarda neste setor, disse Cantrell. “Existem muitos equipamentos muito perigosos e de alta potência, por isso é preciso garantir que sejam confiáveis, seguros e que haja bons procedimentos de backup.”
Estas são preocupações muito reais. Os sistemas críticos que fornecem água potável ou aquecimento não podem falhar sem potenciais consequências de vida ou morte, e desligar estes sistemas para atualizar ou corrigir falhas de segurança introduz uma série de riscos no mundo físico.
Nos últimos anos, no entanto, surgiram preocupações adicionais em torno da conectividade de rede e do acesso remoto, à medida que mais dispositivos e sistemas de TO e IoT se conectam à Internet.
“É um novo vetor de pressão que foi colocado sobre essas pessoas do AT”, disse Cantrell. “É um mundo onde o pessoal de TO não entende as questões de rede e cibernéticas, e o pessoal de TI não entende realmente todas as restrições em torno da segurança e confiabilidade que acompanham essas redes de TO.”
A coisa mais importante que as indústrias críticas deveriam fazer é modernizar o acesso seguro à infraestrutura remota, de acordo com Cantrell. “É daí que vem a maioria dessas violações, através de credenciais roubadas, VPNs, caixas de salto mais antigas”, disse ele, acrescentando que a visibilidade é outra peça chave. “Na metade das vezes, eles nem sabem tudo o que está na rede.”
E é muito difícil para uma organização que usa equipamentos de TO legados e tenta se atualizar sobre conceitos de TI, como acesso de confiança zero, enquanto enfrenta diariamente tentativas de ataques de equipes de ransomware e estados-nação.
“O mais assustador é que algumas dessas ameaças podem estar à espreita e adormecidas neste momento”, disse Cantrell. “Eles podem estar coletando informações e possivelmente esperando para desencadear ações quando acharem necessário.”
Ele repetiu os alertas recentes da CISA e do FBI sobre ser incrivelmente difícil expulsar intrusos de redes críticas quando você não sabe que eles estão lá. “Alguns deles podem estar comprometidos e podem nem saber disso.” ®
.
