Como agem os ataques a roteadores que ameaçam infraestruturas de empresas e países

A Microsoft emitiu na quarta-feira (24) um aviso alegando que hackers patrocinados pela China comprometeram infraestrutura cibernética “crítica” em vários setores, incluindo órgãos governamentais e organizações de comunicação. A Check Point Research (CPR) também alertou recentemente para um ataque relacionado ao grupo APT Camaro Dragon, patrocinado pelo Estado chinês, que direcionou ataques a entidades europeias de relações exteriores.

Segundo a CPR, esses ataques compartilham traços em comum. Eles implantam firmware malicioso adaptado para roteadores TP-Link, incluindo um backdoor personalizado chamado “Horse Shell” que permite aos atacantes manter acesso persistente, construir infraestrutura anônima e permitir movimento lateral entre redes comprometidas.

Em uma declaração conjunta, Estados Unidos, Austrália, Canadá, Nova Zelândia e Reino Unido, países membros da rede de inteligência Five Eyes, destacaram uma série recentemente descoberta de atividades de interesse associadas a um agente cibernético patrocinado pelo Estado da República Popular da China (RPC), também conhecido como Volt Typhoon”.

Leia também: 3 usos de deepfake que ameaçam indivíduos e negócios

Segundo explicação da Microsoft, o Volt Typhoon está direcionando todo o tráfego de sua rede para seus alvos por meio de dispositivos de rede SOHO (Small Office Home Office) comprometidos. Eles estendem a eficácia a roteadores e outros produtos de fabricantes globais como ASUS, Cisco, D-Link, NETGEAR e Zyxel. Por meio dessa vulnerabilidade, os cibercriminosos podem expor as interfaces de gerenciamento HTTP ou SSH.

Dispositivos sob ataque

A Check Point Research destaca que os grupos como o Volt Typhoon têm um histórico de campanhas sofisticadas de ciberespionagem. Sua principal motivação geralmente é a coleta de inteligência estratégica, interrupção direcionada ou simplesmente afirmar uma posição nas redes para operações futuras.

O recente alerta da Microsoft aponta para uma variedade de técnicas empregadas por esses agentes de ameaças, mas de particular interesse é seu foco em técnicas de ataque Living off the Land (LotL, ou “viver da terra”, em tradução livre) e explorar dispositivos de rede, como roteadores.

Os pesquisadores da CPR lembram que dispositivos de rede como roteadores, geralmente considerados o perímetro do ambiente digital de uma empresa, servem como o primeiro ponto de contato para comunicação baseada na Internet. Eles são responsáveis ​​por rotear e gerenciar o tráfego de rede, legítimo e potencialmente malicioso.

Ao comprometer esses dispositivos, os atacantes podem misturar seu tráfego com comunicações legítimas, tornando a detecção significativamente mais difícil. Esses dispositivos, quando reconfigurados ou comprometidos, também permitem que atacantes criem túneis de comunicação pela rede, anonimizando efetivamente seu tráfego e evitando métodos de detecção tradicionais.

Essa estratégia também complementa a abordagem de LotL (ou “viver da terra”) do Volt Typhoon. Em vez de usar malware, que pode ser detectado por muitos sistemas de segurança modernos, esse grupo aproveita as ferramentas de gerenciamento de rede integradas reduzindo assim sua pegada ambiental.

Essas técnicas também permitem que o grupo APT mantenha a persistência nas redes infectadas. Os dispositivos de rede Compromise of Small Office/Home Office (SOHO) podem ser usados ​​como infraestrutura intermediária para ocultar sua verdadeira origem e manter o controle sobre uma rede mesmo que outros elementos de sua operação sejam descobertos e removidos, levando as vítimas a acreditar que a ameaça foi removida.

“A descoberta da natureza independente de firmware dos componentes implantados indica que uma ampla gama de dispositivos e fornecedores pode estar em risco”, explica Itay Cohen, líder de pesquisa e inteligência de ameaças na Check Point Software. “O objetivo final de nossa pesquisa é contribuir para melhorar a postura de segurança de organizações e indivíduos. Enquanto isso, continuamos a recomendar aos usuários que mantenham todos os dispositivos de rede atualizados e seguros e permanecer atentos para qualquer atividade suspeita na rede.”

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!