- Numa operação ofensiva e contraofensiva da Sophos com múltiplos adversários interligados na China, a empresa concluiu que, após a sua resposta bem-sucedida aos ataques iniciais, os adversários intensificaram os esforços com operadores mais experientes. Descobriu-se, assim, um vasto ecossistema de adversários.
A Sophos, líder global em soluções de segurança inovadoras que vencem os ciberataques, lançou o relatório “Pacific Rim”, que detalha as suas operações defensivas e contraofensivas ao longo dos últimos cinco anos com vários adversários de estados-nação interligados, localizados na China, cujo alvo eram dispositivos periféricos, incluindo as Firewalls da Sophos.
Os atacantes recorreram a diversas campanhas com novos exploits e malware personalizado para instalar ferramentas para realizarem vigilância, sabotagem e ciberespionagem, bem como táticas, ferramentas e procedimentos (TTPs) sobrepostos com grupos de estados-nação chineses conhecidos, incluindo Volt Typhoon, APT31 e APT41. Os adversários tinham como alvo pequenas e grandes infraestruturas críticas e entidades governamentais, principalmente no Sul e Sudeste Asiático, incluindo fornecedores de energia nuclear, o aeroporto da capital de um país, um hospital militar, aparelho de segurança do Estado e ministérios de um governo central.
Na operação Pacific Rim, a Sophos X-Ops, a unidade de cibersegurança e de inteligência de ameaças da empresa, trabalhou para neutralizar os movimentos dos adversários e desenvolveu continuamente ações de defesa e contraofensivas. Depois de a Sophos ter respondido com sucesso aos ataques iniciais, os adversários intensificaram os seus esforços e trouxeram operadores mais experientes. Subsequentemente, a Sophos descobriu um vasto ecossistema de adversários.
Embora a Sophos tenha, já desde 2020, divulgado detalhes sobre campanhas associadas a esta operação, incluindo Cloud Snooper e Asnarök, partilha agora a análise geral da investigação para aumentar a sensibilização para a persistência dos adversários do estado-nação chinês e o seu hiperfoco em comprometer dispositivos periféricos, sem patches e em fim de vida (EOL), muitas vezes através de exploits de dia zero que estão a criar para esses dispositivos. A Sophos está também a encorajar todas as organizações a aplicarem urgentemente patches para as vulnerabilidades descobertas em qualquer um dos seus dispositivos com acesso à Internet, e a migrarem quaisquer dispositivos mais antigos não suportados para modelos atuais. A Sophos atualiza regularmente todos os seus produtos suportados com base em novas ameaças e indicadores de compromisso (IoCs) para proteger os clientes. Os clientes da Sophos Firewall estão protegidos através de hotfixes rápidos que estão agora ativados por defeito.
“A realidade é que os dispositivos no edge tornaram-se alvos muito atrativos para os grupos de estados-nação chineses, como o Volt Typhoon e outros, que procuram construir caixas de retransmissão operacionais (ORB) para encobrirem e apoiarem a sua atividade. Isto inclui apontarem diretamente para uma organização para fins de espionagem ou, indiretamente, tirarem partido de quaisquer pontos fracos para ataques posteriores – tornando-os essencialmente danos colaterais. Mesmo as organizações que não são alvos estão a ser atingidas. Os dispositivos de rede concebidos para as empresas são alvos naturais para estes fins – são potentes, estão sempre ligados e têm uma conectividade constante,” afirmou Ross McKerchar, CISO da Sophos. “Quando um grupo que procurava construir uma rede global de ORBs se dirigiu a alguns dos nossos dispositivos, respondemos aplicando as mesmas técnicas de deteção e resposta que utilizamos para defender os nossos endpoints empresariais e dispositivos de rede. Isto permitiu-nos neutralizar várias operações e tirar partido de um valioso fluxo de informações sobre ameaças que aplicámos para proteger os nossos clientes – tanto de futuros ataques generalizados, como de operações altamente direcionadas.”
Destaques do Relatório
- A 4 de dezembro de 2018, um computador com poucos privilégios ligado a um ecrã suspenso começou a analisar a rede Sophos – aparentemente de forma individual – na sede da Cyberoam – uma empresa que a Sophos adquiriu em 2014 – na Índia. A Sophos encontrou uma carga útil que escutava silenciosamente o tráfego de internet especializado que entrava no computador e que continha um novo tipo de backdoor e um rootkit complexo – o “Cloud Snooper”.
- Em abril de 2020, depois de várias organizações terem reportado uma interface de utilizador que apontava para um domínio com “Sophos” no seu nome, a Sophos trabalhou com as autoridades europeias, que localizaram e confiscaram o servidor que os adversários utilizaram para implementar cargas úteis maliciosas no que a Sophos mais tarde apelidou de Asnarök. A Sophos neutralizou o Asnarök, que conseguiu atribuir à China, assumindo o controlo do canal de comando e controlo (C2) do malware. Isso também permitiu à Sophos neutralizar uma onda planeada de ataques de botnet.
- Após o Asnarök, a Sophos avançou nas suas operações de inteligência, criando um programa adicional de monitorização de agentes de ameaças focado na identificação e perturbação de adversários que procuram explorar os dispositivos Sophos implementados em ambientes de clientes. O programa foi construído utilizando uma combinação de inteligência de código aberto, análise da web, monitorização de telemetria e implementações de kernel direcionados nos dispositivos de pesquisa dos atacantes.
- Em seguida, os atacantes mostraram um nível crescente de persistência, melhorando as suas táticas e implementando malware cada vez mais furtivo. No entanto, utilizando o seu programa de monitorização de agentes de ameaças, bem como capacidades melhoradas de recolha de telemetria, a Sophos conseguiu antecipar-se a vários ataques e obter uma cópia de um kit de arranque UEFI e de exploits personalizados antes que pudessem ser amplamente implementados.
- Alguns meses mais tarde, a Sophos conectou alguns dos ataques a um adversário que demonstrou ter ligações à China e ao Instituto de Investigação Double Helix da Sichuan Silence Information Technology, na região de Chengdu daquele país.
- Em março de 2022, um investigador de segurança anónimo reportou à Sophos uma vulnerabilidade de dia zero de execução remota de código, designada CVE-2022-1040, como parte do programa de recompensas de bugs da empresa. Uma investigação mais aprofundada revelou que esta CVE já estava a ser explorada em várias operações – operações que a Sophos conseguiu então impedir que afetassem os clientes. Após uma análise mais detalhada, a empresa determinou que a pessoa que reportou o exploit podia ter tido uma ligação aos adversários. Esta foi a segunda vez que a Sophos recebeu uma “dica” suspeita sobre um exploit antes de este ser utilizado de forma maliciosa.
“Os avisos recentes da CISA tornaram claro que os grupos de Estados-nação chineses são agora uma ameaça permanente para as infraestruturas críticas das nações,” continuou Ross McKerchar. “O que tendemos a esquecer é que as pequenas e médias empresas – que constituem a maior parte da cadeia de abastecimento das infraestruturas críticas – são alvos, uma vez que são frequentemente os elos fracos da cadeia. Infelizmente, estas empresas têm muitas vezes menos recursos para se defenderem contra ameaças tão sofisticadas. Para complicar ainda mais a situação, há uma tendência destes adversários para se instalarem e se entrincheirarem, tornando difícil a sua expulsão. O modus operandi dos adversários localizados na China é criar persistência a longo prazo e ataques complexos e encobertos. Não vão parar até que sejam detidos.”
Declarações de especialistas do setor sobre o Relatório “Pacific Rim” da Sophos
“Através da JCDC, a CISA obtém e partilha informações cruciais sobre os desafios de cibersegurança que enfrentamos, incluindo as táticas e técnicas avançadas utilizadas pelos cibercriminosos patrocinados pelo Estado da República Popular da China (RPC). Os conhecimentos especializados de parceiros como a Sophos, e relatórios como este ‘Pacific Rim’, oferecem à comunidade de cibersegurança global mais informações sobre a evolução dos comportamentos da RPC. Trabalhando lado a lado, estamos a ajudar as equipas de ciberdefesa a compreender a escala e a exploração generalizada dos dispositivos de rede no edge, bem como a implementar estratégias de mitigação,” disse Jeff Greene, Executive Assistant Director for Cibersecuity da CISA. “A CISA continua a enfatizar como as classes de vulnerabilidades, incluindo injeções de SQL e vulnerabilidades de segurança de memória, continuam a ser exploradas em massa. Exortamos os fabricantes de software a analisarem os nossos recursos Secure by Design e, tal como a Sophos fez neste caso, a pôr em prática os seus princípios. Encorajamos os outros a que assumam o compromisso e revejam os nossos alertas sobre como eliminar classes comuns de defeitos.”
“Muitos fornecedores de cibersegurança levam a cabo operações de investigação de adversários, mas poucos são capazes de o fazer com sucesso contra um conjunto tão desafiador de adversários de estado-nação e por um período de tempo tão longo,” realçou Eric Parizo, Managing Principal Analyst do grupo de investigação de cibersergurança da Omdia. “A Sophos tirou o máximo partido de uma oportunidade única e deve ser elogiada por proporcionar pesquisas e conclusões táticas que vão ajudar os seus cliente a defender-se melhor, agora e no futuro.”
“No NCSC-NL, uma das nossas tarefas é partilhar informações e conectar organizações. Facilitar a comunicação e a cooperação entre organizações nacionais e internacionais é de grande importância para melhorar a ciberresiliência. Estamos satisfeitos por termos podido contribuir para esta investigação com a Sophos,” acrescentou Hielke Bontius, Head of Operations do NCSC-NL.
Conselhos para as equipas de defesa
As organizações devem esperar que todos os dispositivos com acesso à Internet sejam alvos privilegiados para os adversários de estados-nação, especialmente os dispositivos em infraestruturas críticas. A Sophos encoraja as empresas a levarem a cabo as seguintes ações para reforçarem a sua postura de segurança:
- Minimizar os serviços e dispositivos com acesso à Internet, quando possível;
- Dar prioridade, com urgência, à aplicação de patches para dispositivos com acesos à Internet e monitorizar esses dispositivos;
- Permitir que os hotfixes para dispositivos no edge sejam permitidos e aplicados automaticamente;
- Colaborar com as autoridades, parceiros público-privados e o governo para partilhar e agir sobre IoCs relevantes;
- Criar um plano para a forma como a sua organização lida com dispositivos em fim de vida.
“Precisamos de trabalhar de forma colaborativa entre os setores público e privado, as autoridades, os governos e o setor da segurança, de forma a partilhar o que sabemos sobre estas operações adversárias. Ter como alvo os mesmos dispositivos no edge que são utilizados para proteger as redes é uma tática ousada e inteligente,” concluiu Ross McKerchar. “As organizações, os parceiros de canal e os fornecedores de serviços geridos têm de compreender que estes dispositivos são os principais alvos dos atacantes e devem garantir que estão devidamente protegidos e que os patches críticos são aplicados assim que são lançados. De facto, sabemos que os atacantes estão ativamente à procura de dispositivos EOL. Os fornecedores também desempenham um papel importante neste domínio: têm de ajudar os clientes através do suporte com hotfixes fiáveis e bem testados, facilitando a atualização a partir de plataformas EOL, refatorando ou removendo sistematicamente o código antigo que pode conter vulnerabilidades persistentes, melhorando continuamente os designs seguros por defeito para aliviar o cliente do ónus do endurecimento, e monitorizando a integridade dos dispositivos implementados.”
Sobre a Sophos: A Sophos é líder e inovadora mundial em soluções de segurança avançadas que vencem ciberataques, incluindo serviços de Deteção e Resposta Geridas (MDR, na sua sigla em inglês), serviços de resposta a incidentes e um vasto portefólio de tecnologias de segurança de endpoints, rede, email e Cloud. Sendo um dos maiores fornecedores de cibersegurança totalmente dedicados, a Sophos protege mais de 600.000 organizações e 100 milhões de utilizadores a nível global contra adversários ativos, ransomware, phishing, malware e outros. Os serviços e produtos da Sophos estão ligados através da Sophos Central, a sua consola de gestão baseada na Cloud, e são impulsionados pela Sophos X-Ops, a unidade de inteligência de ameaças transversal da empresa. A inteligência da Sophos X-Ops enriquece todo o Ecossistema Adaptativo de Cibersegurança da empresa, que inclui um data lake centralizado que tira partido de um rico conjunto de APIs abertas e disponíveis para clientes, parceiros, programadores e outros fornecedores de cibersegurança e tecnologias de informação. A Sophos oferece segurança-como-serviço a organizações que necessitam de soluções de segurança totalmente geridas. Os clientes podem gerir a sua cibersegurança diretamente com a plataforma de operações de segurança da Sophos, ou recorrer a uma abordagem híbrida que complementa as suas equipas internas com serviços Sophos, incluindo threat hunting e remediação. A atividade comercial da Sophos é realizada através de parceiros revendedores e fornecedores de serviços geridos (MSPs) em todo o mundo. A empresa tem sede em Oxford, no Reino Unido. Mais informação em www.sophos.com.