Durante anos, tem sido uma verdade inconveniente dentro da indústria de segurança cibernética que os dispositivos de segurança de rede vendidos para proteger os clientes de espiões e cibercriminosos são, eles próprios, muitas vezes as máquinas que esses intrusos hackeiam para obter acesso aos seus alvos. Repetidamente, vulnerabilidades em dispositivos de “perímetro” como firewalls e VPN os aparelhos tornaram-se pontos de apoio para hackers sofisticados que tentam invadir os próprios sistemas que esses aparelhos foram projetados para proteger.
Agora, um fornecedor de cibersegurança está a revelar com que intensidade – e durante quanto tempo – tem lutado contra um grupo de hackers que procuravam explorar os seus produtos em benefício próprio. Durante mais de cinco anos, a empresa britânica de segurança cibernética Sophos envolveu-se num jogo de gato e rato com uma equipa de adversários pouco interligada que tinha como alvo os seus firewalls. A empresa chegou ao ponto de rastrear e monitorar os dispositivos específicos nos quais os hackers estavam testando suas técnicas de intrusão, vigiar os hackers no trabalho e, por fim, rastrear esse esforço de exploração concentrado e de anos de duração até uma única rede de pesquisadores de vulnerabilidade em Chengdu. , China.
Na quinta-feira, a Sophos narrou a guerra de meia década com os hackers chineses em um relatório que detalha sua escalada de retaliação. A empresa chegou ao ponto de instalar discretamente os seus próprios “implantes” nos dispositivos Sophos dos hackers chineses para monitorizar e impedir as suas tentativas de explorar os seus firewalls. Os pesquisadores da Sophos eventualmente obtiveram das máquinas de teste dos hackers um espécime de malware “bootkit” projetado para se esconder indetectavelmente no código de baixo nível dos firewalls usado para inicializar os dispositivos, um truque que nunca foi visto na natureza.
No processo, os analistas da Sophos identificaram uma série de campanhas de hackers que começaram com a exploração indiscriminada em massa de seus produtos, mas que eventualmente se tornaram mais furtivas e direcionadas, atingindo fornecedores e reguladores de energia nuclear, alvos militares, incluindo um hospital militar, telecomunicações, agências governamentais e de inteligência. , e o aeroporto de uma capital nacional. Embora a maioria dos alvos – que a Sophos se recusou a identificar com mais detalhes – estivessem no Sul e no Sudeste Asiático, um número menor estava na Europa, no Médio Oriente e nos Estados Unidos.
O relatório da Sophos vincula essas múltiplas campanhas de hackers – com vários níveis de confiança – a grupos de hackers patrocinados pelo Estado chinês, incluindo aqueles conhecidos como APT41, APT31 e Volt Typhoon, o último dos quais é uma equipe particularmente agressiva que tem buscado a capacidade de interromper infraestrutura crítica nos EUAincluindo redes elétricas. Mas o fio condutor desses esforços para hackear os dispositivos da Sophos, diz a empresa, não é um dos grupos de hackers previamente identificados, mas sim uma rede mais ampla de pesquisadores que parece ter desenvolvido técnicas de hacking e as fornecido ao governo chinês. Os analistas da Sophos vinculam o desenvolvimento da exploração a um instituto acadêmico e a um empreiteiro, ambos nos arredores de Chengdu: Sichuan Silence Information Technology – uma empresa anteriormente vinculado pela Meta aos esforços de desinformação estatais chineses—e a Universidade de Ciência e Tecnologia Eletrônica da China.
A Sophos diz que está contando essa história agora não apenas para compartilhar um vislumbre do pipeline de pesquisa e desenvolvimento de hackers na China, mas também para quebrar o silêncio constrangedor da indústria de segurança cibernética em torno da questão maior das vulnerabilidades em dispositivos de segurança que servem como pontos de entrada para hackers. Apenas no ano passado, por exemplo, falhas em produtos de segurança de outros fornecedores, incluindo Avanti, Fortinet, Cisco e Palo Alto, foram todas exploradas em ataques de hackers em massa ou em campanhas de intrusão direcionadas. “Isso está se tornando um segredo aberto. As pessoas entendem que isso está acontecendo, mas infelizmente todos estão zíper,” diz o diretor de segurança da informação da Sophos, Ross McKerchar, fingindo puxar um zíper nos lábios. “Estamos adotando uma abordagem diferente, tentando ser muito transparentes, para enfrentar isso de frente e enfrentar nosso adversário no campo de batalha.”
De um monitor hackeado a ondas de intrusão em massa
Como conta a Sophos, a longa batalha da empresa com os hackers chineses começou em 2018 com uma violação da própria Sophos. A empresa descobriu uma infecção por malware em um computador que executava uma tela no escritório de Ahmedabad de sua subsidiária Cyberoam, com sede na Índia. O malware chamou a atenção da Sophos devido à varredura barulhenta da rede. Mas quando os analistas da empresa olharam mais de perto, descobriram que os hackers por trás dela já haviam comprometido outras máquinas na rede Cyberoam com um rootkit mais sofisticado que eles identificado como CloudSnooper. Em retrospectiva, a empresa acredita que a intrusão inicial foi concebida para obter informações sobre os produtos Sophos que permitiriam ataques subsequentes aos seus clientes.
Então, na primavera de 2020, a Sophos começou a tomar conhecimento de uma ampla campanha de infecções indiscriminadas de dezenas de milhares de firewalls em todo o mundo, numa aparente tentativa de instalar um trojan. chamado Asnarök e criar o que chama de “caixas de retransmissão operacional” ou ORBs – essencialmente uma botnet de máquinas comprometidas que os hackers poderiam usar como pontos de lançamento para outras operações. A campanha contou com recursos surpreendentemente bons, explorando diversas vulnerabilidades de dia zero que os hackers pareciam ter descoberto nos dispositivos Sophos. Apenas um bug nas tentativas de limpeza do malware em uma pequena fração das máquinas afetadas permitiu à Sophos analisar as invasões e começar a estudar os hackers que atacavam seus produtos.
