Um grupo de hackers do governo chinês adquiriu uma posição significativa em ambientes de infraestrutura crítica nos EUA e Guam e está roubando credenciais de rede e dados confidenciais, permanecendo praticamente indetectáveis, disseram a Microsoft e os governos dos EUA e quatro outros países na quarta-feira.
O grupo, rastreado pela Microsoft sob o nome de Volt Typhoon, está ativo há pelo menos dois anos com foco em espionagem e coleta de informações para a República Popular da China, disse a Microsoft. Para permanecerem furtivos, os hackers usam ferramentas já instaladas ou embutidas em dispositivos infectados que são controladas manualmente pelos invasores, em vez de serem automatizadas, uma técnica conhecida como “viver da terra”. Além de ser revelada pela Microsoft, a campanha também foi documentada em um comunicado publicado em conjunto por:
• Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) • Federal Bureau of Investigation (FBI) dos EUA • Centro Australiano de Segurança Cibernética (ACSC) • Centro Canadense de Segurança Cibernética (CCCS) • Centro Nacional de Segurança Cibernética da Nova Zelândia (NCSC-NZ) • Centro Nacional de Segurança Cibernética do Reino Unido (NCSC-UK)
Além da técnica de viver fora da terra, os hackers obscureceram ainda mais suas atividades usando roteadores domésticos e de pequenos escritórios comprometidos como infraestrutura intermediária que permite que as comunicações com computadores infectados emanem de ISPs locais na área geográfica. No comunicado da Microsoft, os pesquisadores escreveram:
Para atingir seu objetivo, o agente da ameaça coloca forte ênfase na furtividade nesta campanha, confiando quase exclusivamente em técnicas de vida fora da terra e atividades práticas no teclado. Eles emitem comandos por meio da linha de comando para (1) coletar dados, incluindo credenciais de sistemas locais e de rede, (2) colocar os dados em um arquivo para prepará-los para exfiltração e, em seguida, (3) usar as credenciais válidas roubadas para manter persistência. Além disso, o Volt Typhoon tenta se misturar à atividade normal da rede, roteando o tráfego por meio de equipamentos de rede comprometidos para pequenos escritórios e escritórios domésticos (SOHO), incluindo roteadores, firewalls e hardware VPN. Eles também foram observados usando versões personalizadas de ferramentas de código aberto para estabelecer um canal de comando e controle (C2) sobre o proxy para permanecer sob o radar.
Os pesquisadores da Microsoft disseram que a campanha provavelmente foi projetada para desenvolver recursos para “interromper a infraestrutura crítica de comunicação entre os Estados Unidos e a região da Ásia durante crises futuras”. Guam é importante para os militares dos EUA por causa de seus portos no Pacífico e da base aérea que fornece. À medida que as tensões sobre Taiwan aumentaram, a importância estratégica de Guam tornou-se um ponto focal.
O ponto de entrada inicial para os compromissos do Volt Typhoon é por meio de dispositivos Fortinet FortiGuard voltados para a Internet, que nos últimos anos provaram ser uma importante cabeça de ponte para infectar redes. Ao explorar vulnerabilidades em dispositivos FortiGuard que os administradores negligenciaram corrigir, os hackers extraem credenciais para o Active Directory de uma rede, que armazena nomes de usuário, hashes de senha e outras informações confidenciais para todas as outras contas. Os hackers então usam esses dados para infectar outros dispositivos na rede.
“O Volt Typhoon faz proxy de todo o tráfego de rede para seus alvos por meio de dispositivos de borda de rede SOHO comprometidos (incluindo roteadores)”, escreveram os pesquisadores da Microsoft. “A Microsoft confirmou que muitos dos dispositivos, que incluem os fabricados pela ASUS, Cisco, D-Link, NETGEAR e Zyxel, permitem que o proprietário exponha as interfaces de gerenciamento HTTP ou SSH à Internet.”
O restante do comunicado descreve principalmente indicadores de comprometimento que os administradores podem usar para determinar se suas redes foram infectadas.
Pesquisadores da Microsoft escreveram:
Na maioria dos casos, o Volt Typhoon acessa os sistemas comprometidos fazendo login com credenciais válidas, da mesma forma que os usuários autorizados fazem. No entanto, em um pequeno número de casos, a Microsoft observou os operadores do Volt Typhoon criando proxies em sistemas comprometidos para facilitar o acesso. Eles fazem isso com o comando interno netsh portproxy.
Comandos Volt Typhoon criando e posteriormente excluindo um proxy de porta em um sistema comprometido
Em casos raros, eles também usam versões personalizadas das ferramentas de código aberto Impacket e Fast Reverse Proxy (FRP) para estabelecer um canal C2 sobre proxy.
As organizações comprometidas observarão o acesso C2 na forma de logins bem-sucedidos de endereços IP incomuns. A mesma conta de usuário usada para esses logins pode ser vinculada à atividade de linha de comando que conduz acesso adicional à credencial. A Microsoft continuará monitorando o Volt Typhoon e acompanhando as mudanças em suas atividades e ferramentas.
Entre os setores afetados estão comunicações, manufatura, serviços públicos, transporte, construção, marítimo, governo, tecnologia da informação e educação. Os avisos fornecem orientação para desinfetar qualquer rede que tenha sido comprometida.
