Vários APTs chineses estabelecem importantes pontos de apoio dentro de infraestruturas sensíveis
Dan Goodin - 1º de agosto de 2023 12h29 UTC
As equipas de hackers que trabalham para o governo chinês têm a intenção de penetrar nos confins da infra-estrutura sensível, grande parte dela pertencente aos EUA, e estabelecer presenças permanentes lá, se possível. Nos últimos dois anos, obtiveram algumas vitórias que poderiam ameaçar seriamente a segurança nacional.
Se isso não estava claro antes, três relatórios divulgados na semana passada deixam isso claro. Num estudo publicado pela empresa de segurança Kaspersky, os investigadores detalharam um conjunto de ferramentas avançadas de espionagem utilizadas nos últimos dois anos por um grupo para estabelecer um “canal permanente para exfiltração de dados” dentro da infraestrutura industrial. Um segundo relatório publicado domingo pelo The New York Times disse que um grupo diferente que trabalhava para o governo chinês havia escondido malware que poderia causar interrupções profundas na infraestrutura crítica usada pelas bases militares dos EUA em todo o mundo. Esses relatórios surgiram nove dias depois que a Microsoft revelou uma violação de contas de e-mail pertencentes a 25 de seus clientes na nuvem, incluindo os Departamentos de Estado e de Comércio.
As operações parecem vir de departamentos separados dentro do governo chinês e têm como alvo diferentes partes da infra-estrutura dos EUA e da Europa. O primeiro grupo, rastreado sob o nome Zirconium, pretende roubar dados dos alvos que infecta. Um grupo diferente, conhecido como Volt Typhoon, segundo o NYT, pretende obter a capacidade a longo prazo de causar perturbações no interior das bases dos EUA, possivelmente para utilização em caso de conflito armado. Em ambos os casos, os grupos estão a tentar criar cabeças de ponte permanentes onde possam instalar-se sub-repticiamente.
Um relatório publicado pela Kaspersky há duas semanas (parte 1) e segunda-feira (parte 2) detalhou 15 implantes que dão ao Zircônio uma gama completa de recursos avançados. As capacidades dos implantes variam desde o estágio um, acesso remoto persistente a máquinas hackeadas, até um segundo estágio que coleta dados dessas máquinas - e quaisquer dispositivos isolados aos quais elas se conectam - até um terceiro estágio usado para enviar dados furtados para sistemas controlados por zircônio. servidores de comando.
Zirconium é um grupo de hackers que trabalha para a República Popular da China. A unidade tem tradicionalmente como alvo uma ampla gama de entidades industriais e de informação, incluindo organizações governamentais, financeiras, aeroespaciais e de defesa e empresas nos setores de tecnologia, construção, engenharia, telecomunicações, mídia e seguros. O zircônio, que também é rastreado sob os nomes APt31 e Judgment Panda, é um exemplo de APT (ameaça persistente avançada), uma unidade que hackeia para, em nome de ou como parte de um estado-nação.
O relatório da Kaspersky mostra que, mais ou menos na mesma época do ataque em grande escala ao roteador, a Zirconium estava ocupada com outro grande empreendimento – que envolvia o uso de 15 implantes para descobrir informações confidenciais fortificadas nas profundezas das redes visadas. O malware normalmente é instalado no que é conhecido como sequestro de DLL. Esses tipos de ataques encontram maneiras de injetar código malicioso nos arquivos DLL que fazem vários processos do Windows funcionarem. O malware encobriu seus rastros usando o algoritmo RC4 para criptografar dados até pouco antes de serem injetados.
Um componente worm do malware, disse a Kaspersky, pode infectar unidades removíveis que, quando conectadas a um dispositivo isolado, localizam dados confidenciais armazenados lá e os copiam. Quando conectado novamente a uma máquina conectada à Internet, o dispositivo de disco infectado grava o arquivo lá.
“Ao longo da investigação, os pesquisadores da Kaspersky observaram os esforços deliberados dos atores da ameaça para evitar a detecção e análise”, escreveu Kaspersky. “Eles conseguiram isso ocultando a carga em formato criptografado em arquivos de dados binários separados e incorporando código malicioso na memória de aplicativos legítimos por meio de sequestro de DLL e uma cadeia de injeções de memória.”