0
0
A Agência de Segurança Cibernética e Infraestrutura (CISA, em inglês) dos Estados Unidos publicou comunicado de segurança alertando sobre uma onda de ataques perpetrados por grupos de hackers ligados ao Ministério de Segurança do Estado (MSS) da China. A agência afirma que, no ano passado, hackers chineses vasculharam as redes do governo dos EUA em busca de dispositivos de rede populares e, em seguida, usaram exploits para vulnerabilidades divulgadas recentemente para tentar se infiltrar em redes sensíveis.
A lista de dispositivos visados inclui balanceadores de carga F5 Big-IP, dispositivos Citrix e Pulse Secure VPN, além de servidores de e-mail Microsoft Exchange. Para cada um desses dispositivos, as principais vulnerabilidades foram divulgadas nos últimos 12 meses, com as especificações CVE-2020-5902, CVE-2019-19781, CVE-2019-11510 e CVE-2020-0688, respectivamente.
De acordo com uma tabela que resume a atividade chinesa direcionada a esses dispositivos publicada pela CISA nesta segunda-feira, 14, alguns ataques foram bem-sucedidos e permitiram que os hackers se infiltrassem nas redes federais.
Hackers iranianos
Os ataques não são novos. O site ZDNet relatou no ano passado que hackers patrocinados pelo governo chinês tinham como alvo servidores VPN Pulse Secure e Fortinet, menos de um mês depois que as vulnerabilidades se tornaram públicas.
Mas os hackers chineses não são os únicos que têm como alvo aparelhos de rede específicos. Os dispositivos listados acima também foram visados por hackers ligados ao governo iraniano, de acordo com um relatório de cibersegurança e um alerta publicado pelo FBI no mês passado.
O grupo iraniano comprometeu esses tipos de dispositivos e, em seguida, forneceu acesso a outros grupos de hackers do país, permitindo-lhes selecionar as redes que queriam comprometer para operações de coleta de inteligência. Os dispositivos comprometidos que não foram selecionados posteriormente foram colocados à venda em fóruns de hackers na dark web, de acordo com um relatório da Crowdstrike.
Outras formas de ataque
O alerta da CISA feito ao setor privado dos EUA e agências governamentais para corrigir os dispositivos F5, Citrix, Pulse Secure e Microsoft Exchange. No entanto, o alerta também avisa que os hackers chineses estão empregando um amplo espectro de outros métodos de intrusão. Isso também inclui o uso de e-mails de spear-phishing — ataque clássico empregado por hackers ligados ao Estado chinês — e o uso de ataques de força bruta usando credenciais fracas ou padrão.
Uma vez que os hackers chineses estão dentro das redes direcionadas, eles frequentemente implantam ferramentas comerciais e de código aberto para mover lateralmente pelas redes e exfiltrar dados. Isso inclui o uso de ferramentas legítimas de teste de penetração, como Cobalt Strike e Mimikatz.
Quando os ataques visam sistemas da web voltados para o público, como VPNs, servidores da web e de e-mail, a CISA diz que frequentemente verifica hackers ligados ao governo chinês implantando o shell de web China Chopper, ferramenta comum usadas por eles há quase uma década.
Funcionários da CISA recomendam que as equipes de segurança do setor privado e agências governamentais leiam seu relatório, tomem conhecimento das táticas, técnicas e procedimentos comuns usados por hackers chineses ligados ao governo, consertem dispositivos e implantem regras de detecção.
FONTE: CISO ADVISOR