.
Exclusivo Espiões patrocinados pelo estado chinês foram vistos dentro da rede de uma empresa global de engenharia, tendo obtido acesso inicial usando as credenciais padrão de um portal de administração em um servidor IBM AIX.
Em entrevista exclusiva com O RegistroO diretor de pesquisa de segurança da Binary Defense, John Dwyer, disse que os bisbilhoteiros cibernéticos comprometeram primeiro um dos três servidores AIX não gerenciados da vítima em março e permaneceram dentro do ambiente de TI do fabricante sediado nos EUA por quatro meses enquanto vasculhavam em busca de mais caixas para confiscar.
É um conto que deve ser um aviso para aqueles com máquinas há muito esquecidas ou quase esquecidas conectadas às suas redes; aqueles com implantações de TI sombra; e aqueles com equipamentos não gerenciados. Enquanto o resto do seu ambiente é protegido por qualquer detecção de ameaças que você tenha em vigor, esses serviços legados são pontos de partida perfeitos para malfeitores.
Esta empresa em particular, que Dwyer se recusou a nomear, fabrica componentes para organizações aeroespaciais públicas e privadas e outros setores críticos, incluindo petróleo e gás. A intrusão foi atribuída a uma equipe não identificada da República Popular da China, cuja motivação parece ser espionagem e roubo de projetos.
Tentativas de interferir nos produtos estão acontecendo cada vez mais cedo na cadeia de suprimentos…
Vale ressaltar que o governo federal emitiu vários alertas de segurança neste ano sobre as equipes de espionagem de Pequim, incluindo o APT40 e o Volt Typhoon, que foi acusado de invadir redes americanas em preparação para ataques cibernéticos destrutivos.
Depois de descobrir os agentes da China dentro de sua rede em agosto, o fabricante alertou as agências policiais locais e federais e trabalhou com autoridades de segurança cibernética do governo em atribuição e mitigação, fomos informados. A Binary Defense também foi chamada para investigar.
A Agência de Segurança Cibernética e de Infraestrutura do governo dos EUA não quis comentar, e o FBI não respondeu imediatamente. O Registroperguntas.
Antes de serem capturados e posteriormente expulsos da rede, os intrusos chineses carregaram um shell da web e estabeleceram acesso persistente, dando-lhes acesso total e remoto à rede de TI — colocando os espiões em uma posição privilegiada para possível roubo de propriedade intelectual e manipulação da cadeia de suprimentos.
Se um componente comprometido sai da cadeia de suprimentos e entra nas máquinas de produção, quem estiver usando aquele equipamento ou veículo acabará sentindo o impacto quando o componente falhar, ficar descontrolado ou apresentar problemas.
“O lado assustador disso é: com nossa cadeia de suprimentos, temos uma cadeia de risco assumida, onde quem está consumindo o produto final – seja o governo, o Departamento de Defesa dos EUA, sistemas escolares – assume todos os riscos de todas as partes interconectadas da cadeia de suprimentos”, disse Dwyer. O Registro.
Além disso, ele acrescentou, as nações adversárias estão bem cientes disso, “e os ataques parecem estar continuamente mudando para a esquerda”. Ou seja, as tentativas de interferir nos produtos estão acontecendo cada vez mais cedo na cadeia de suprimentos, afetando cada vez mais vítimas e estando mais profundamente enraizadas nos sistemas.
Invadir uma rede classificada para roubar designs ou causar problemas não é super fácil. “Mas posso entrar em uma parte da cadeia de suprimentos em um centro de fabricação que não esteja sujeito aos mesmos padrões e atingir minhas metas e objetivos?”, perguntou Dwyer.
A resposta, claro, é sim.
Três dos servidores do ambiente de desenvolvimento AIX da vítima foram expostos desprotegidos à internet aberta, de acordo com a Binary Defense. Um deles, pelo menos, estava executando um portal de administração do Apache Axis com credenciais de administrador padrão, o que deu aos invasores acesso total ao sistema legado. O servidor não era compatível com as ferramentas de monitoramento de segurança da organização, o que é parte do motivo pelo qual os defensores da rede levaram meses para detectar atividades maliciosas nos computadores da empresa, nos disseram.
Tudo isso, de acordo com Dwyer, equivale a “um erro honesto”, mas que também ilustra o problema de novas ferramentas de segurança não serem compatíveis com a TI legada que alimenta muitos sistemas críticos.
Disseram-nos que, uma vez que o servidor foi comprometido, os intrusos instalaram um shell web AxisInvoker, permitindo que eles controlassem remotamente a caixa, coletassem dados Kerberos nela e adicionassem chaves SSH para que pudessem fazer login com segurança de fora. Os bisbilhoteiros então reuniram o máximo de inteligência que puderam sobre a configuração da rede, bem como quaisquer dados que pudessem obter por meio de compartilhamentos LDAP e SMB.
Desvendado
Mais código pós-exploração foi implantado, incluindo Cobalt Strike e web shells, além de um proxy reverso rápido (FRP) para fazer um túnel de volta para sua própria infraestrutura. Engraçado, eles pareciam não estar familiarizados com o AIX enquanto tentavam executar programas padrão no Linux, mas não nativos do sistema operacional Unix da IBM. Eles então se voltaram para o ambiente Microsoft Windows da rede da empresa de engenharia e conduziram ataques de retransmissão NTLM para enumerar usuários Windows disponíveis e personificar uma conta Windows de nível de administrador válida.
Logo depois disso, os intrusos foram descobertos por ferramentas de detecção de ameaças implantadas pela empresa. Os bisbilhoteiros tentaram despejar a memória do processo LSASS em um servidor Windows, uma maneira comum de coletar credenciais de um sistema. Isso foi observado e bloqueado, e os espiões foram expulsos, aparentemente antes que qualquer outra coisa fosse acessada.
“E imediatamente após retirá-los do ambiente, outro ataque ocorreu, o que atribuímos ao mesmo grupo tentando retornar por outros meios”, acrescentou.
Isso aconteceu em 24 horas, com um ataque de credential-stuffing. “Não houve opsec, nem slow-and-low”, disse Dwyer. “Eles colocaram o persistente no APT. Uma vez que eles identificaram um alvo como valioso para eles e suas metas e objetivos, eles continuarão tentando voltar.”
A Binary Defense deve publicar um relatório na quinta-feira sobre a invasão cibernética e as lições aprendidas. ®
.
