.
A China atacou organizações de infraestrutura crítica nos EUA usando um ataque “vivendo da terra” que esconde ações ofensivas entre as atividades administrativas diárias do Windows.
O ataque foi detectado pela Microsoft e reconhecido pelas agências de inteligência e infosec das nações Five Eyes – Austrália, Canadá, Nova Zelândia, Reino Unido e Estados Unidos.
A consultoria conjunta de segurança cibernética [PDF] de dez agências descreve “um grupo de atividades de interesse recentemente descoberto associado a um ator cibernético patrocinado pelo estado da República Popular da China (RPC), também conhecido como Volt Typhoon”.
A Microsoft afirma que o grupo está ativo desde meados de 2021 e tem como alvo organizações de infraestrutura crítica em Guam e em outras partes dos Estados Unidos.
“Nesta campanha, as organizações afetadas abrangem os setores de comunicação, manufatura, serviços públicos, transporte, construção, marítimo, governamental, tecnologia da informação e educação”, sugere a equipe de inteligência de ameaças da gigante do software.
Os invasores usam várias táticas para acessar as redes das vítimas. CVE-2021-40539 – um desvio de autenticação no ManageEngine que foi explorado desde 2021 – é uma maneira de entrar. Assim como uma falha no software do dispositivo FatPipe MPVPN que o FBI avisou sobre em 2021.
Os roteadores de nível SOHO comprometidos também ajudam. A ferramenta Mimikatz, que costuma aparecer em notícias de ataques cibernéticos, tem sido usada pela equipe do Volt Typhoon.
Em Microsoft está dizendo do conto, o Volt Typhoon usa ferramentas de linha de comando para “coletar dados, incluindo credenciais de sistemas locais e de rede”.
A gangue coloca essas informações em um arquivo que tenta exfiltrar e, em seguida, usa credenciais roubadas para manter uma presença persistente nas redes de destino.
“Além disso, o Volt Typhoon tenta se misturar à atividade normal da rede roteando o tráfego através de equipamentos comprometidos de rede de pequenos escritórios e escritórios domésticos, incluindo roteadores, firewalls e hardware VPN. Eles também foram observados usando versões personalizadas de ferramentas de código aberto para estabelecer um canal de comando e controle sobre proxy para ficar ainda mais fora do radar”, sugere a Microsoft.
O comunicado da Five Eyes aponta que o Windows possibilita essas atividades. “Uma das principais táticas, técnicas e procedimentos (TTPs) do ator é viver da terra, que usa ferramentas de administração de rede integradas para realizar seus objetivos”, afirma o comunicado. “Este TTP permite que o ator evite a detecção, combinando-se com o sistema Windows normal e atividades de rede, evitando produtos de detecção e resposta de endpoint (EDR) que alertariam sobre a introdução de aplicativos de terceiros no host e limitando a quantidade de atividade que é capturado nas configurações de registro padrão.”
PowerShell, wmic, ntdsutil e netsh estão entre as ferramentas favoritas do Volt Typhoon.
Isso dificulta a vida dos usuários porque, como aponta o comunicado, “algumas linhas de comando podem aparecer em um sistema como resultado de atividade benigna e seriam indicadores falsos positivos de atividade maliciosa.
“Os defensores devem avaliar as correspondências para determinar seu significado, aplicando seu conhecimento do sistema e do comportamento da linha de base. Além disso, ao criar uma lógica de detecção com base nesses comandos, os defensores da rede devem considerar a variabilidade nos argumentos da sequência de comandos, pois itens como portas usadas podem ser diferem entre os ambientes.”
Não há uma única maneira de se defender contra o Volt Typhoon. A assessoria recomenda seis ações, a saber:
- Fortalecimento de controladores de domínio e monitoramento de logs de eventos, com foco na observação de ntdsutil.exe e criações de processos semelhantes;
- Limitar o uso de proxy de porta dentro dos ambientes, e habilitá-los apenas pelo período de tempo em que forem necessários;
- Investigar endereços IP incomuns e portas em linhas de comando, entradas de registro e logs de firewall para identificar hosts que invasores possam estar usando;
- Revisar as configurações do firewall de perímetro para alterações e/ou entradas não autorizadas que possam permitir conexões externas com hosts internos;
- Procure atividades anormais na conta, como logons fora do horário normal de trabalho e logons impossíveis de horário e distância; e
- Encaminhar arquivos de log para um servidor de log centralizado, preferencialmente em uma rede segmentada.
As notícias das supostas atividades do Volt Typhoon aumentam as muitas alegações de que a China mantém equipes dedicadas a atacar governos e empresas estrangeiras. Os EUA afirmam que a China é seu inimigo online mais prolífico e emprega 50 atacantes para cada defensor dos Estados Unidos. A China reagiu com um alegar os EUA são um “Império do Hacking”.
Enquanto eles brigam, Registro os leitores ficam com o tipo de lista de tarefas defensiva descrita acima. ®
.
