0
0
O grupo chinês Winnti cyberthreat vem roubando silenciosamente imensas lojas de propriedade intelectual e outros dados confidenciais de empresas de manufatura e tecnologia na América do Norte e Ásia há anos.
Isso é de acordo com pesquisadores da Cybereason, que estimam que o grupo até agora roubou centenas de gigabytes de dados de mais de 30 organizações globais desde que a campanha de espionagem cibernética começou. Segredos comerciais são uma grande parte disso, disseram eles, incluindo plantas, fórmulas, diagramas, documentos de fabricação proprietários e outras informações sensíveis aos negócios.
Além disso, os invasores coletaram detalhes sobre a arquitetura de rede, contas de usuários, credenciais, dados de clientes e unidades de negócios de uma organização-alvo que poderiam aproveitar em ataques futuros, diz a Cybereason em relatórios resumindo sua investigação nesta semana.
O fornecedor de segurança disse que compartilhou suas descobertas com o FBI, que em 2019 havia alertado sobre grupos de ameaças cibernéticas baseados na China envolvidos no roubo maciço de propriedade intelectual de empresas dos EUA para apoiar a iniciativa de modernização “Made in China 2025” do país.
“Os fabricantes globais são alvos de grupos de ameaças patrocinados pelo Estado chinês”, diz Assaf Dahan, diretor sênior e chefe de pesquisa de ameaças da Cybereason. “Nossa pesquisa destaca a importância de proteger ativos voltados para a Internet, a detecção precoce de atividades de digitalização e tentativas de exploração, a capacidade de detectar atividade de web shell, persistência, tentativas de reconhecimento por ferramentas legítimas do Windows, dumping de credenciais e tentativas de movimento lateral.”
Darren Williams, CEO e fundador da BlackFog, diz que a campanha que a Cybereason observou destaca uma tendência recente envolvendo roubo de dados por cybergangs que operam fora da China. Ele diz que uma nova pesquisa que a BlackFog realizou recentemente descobriu que 20% de todos os ataques de ransomware exfiltram dados para a China. Também houve um aumento dramático nos ataques direcionados aos setores de tecnologia, manufatura e governo, diz
ele “Achamos que está relacionado à crescente pressão de várias nações sobre a indústria manufatureira em geral e à mudança na dependência da manufatura chinesa”, diz ele. “Então, quando você olha para as guerras comerciais que a China tem com países como a Austrália, há uma mudança geral no mercado acontecendo. Achamos que esses ataques são em resposta e até retaliação por muitos desses movimentos.”
Winnti Stung by CuckooBees
Winnti (também conhecido como APT41, Wicked Panda, ou Barium) é um grupo de ameaças que está ativo desde pelo menos 2010. Acredita-se que o grupo esteja trabalhando em nome ou com o apoio do governo chinês. Alguns fornecedores de segurança descreveram Winnti como um grupo de guarda-chuvas composto por múltiplos atores de ameaças que operam sob o controle das agências de inteligência estatais da China. O grupo foi ligado a ataques em 2010 em dezenas de empresas dos EUA (incluindo Google e Yahoo). E em 2020, o governo dos EUA indiciou cinco membros do grupo de ameaças, embora a ação tenha feito pouco para parar suas atividades.
Pesquisadores da Cybereason se depararam com a última campanha do grupo de ameaças ao investigar uma intrusão em 2021 em uma empresa de fabricação global de US$ 5 bilhões com operações na Ásia, América do Norte e Europa, diz Dahan, e vem coletando evidências sobre a atividade desde então.
Os pesquisadores apelidaram a investigação de “Operação CuckooBees”, porque as abelhas cuckoo são muito evasivas, e o grupo Winnti é um dos grupos de hackers mais esquivos, explica Dahan.
“A Operação CuckooBees foi uma investigação de 12 meses focada na campanha global de espionagem do Winnti Group contra fabricantes de defesa, aeroespacial, energia, biotecnologia e farmacêutica”, diz Dahan.
Novas ferramentas, abuso raro do mecanismo windows CLFS
A investigação da Cybereason também revelou novos aspectos da abordagem técnica do grupo, incluindo o desenvolvimento de novas ferramentas de malware — ou novas versões de seu malware antigo — e novas técnicas sofisticadas para entrega e evasão de cargas.
As novas ferramentas incluem uma chamada DeployLog, feita para implantar o rootkit homônima winnti de nível de kernel do grupo de ameaças. As novas versões de ferramentas que ele usou no passado incluem uma carga inicial chamada Spyder Loader; uma ferramenta de escalada de privilégios chamada PrivateLog; e uma ferramenta chamada StashLog para armazenar cargas em uma função Windows difícil de quebrar.
Um aspecto notável da nova campanha do grupo Winnti, de acordo com a Cybereason, é o uso do ator de ameaças de um recurso de registro de alto desempenho do Windows chamado Common Log File System (CLFS) para ocultar cargas maliciosas.
“O mecanismo CLFS é bastante obscuro e ainda não está documentado pela Microsoft”, observa Dahan. “Os atacantes usaram o mecanismo CLFS para esconder suas cargas em um lugar onde a maioria dos produtos de segurança ou os profissionais não procuraram.” Ele acrescenta que a capacidade de abusar do mecanismo aponta para o nível de sofisticação e recursos que os atores de ameaça têm à sua disposição.
“É preciso muito esforço para fazer engenharia reversa desse mecanismo para abusar dele para fins nefastos”, diz ele.
Dahan diz que a Cybereason não observou nenhum outro grupo de ameaças abusar do mecanismo CLFS para esconder cargas da mesma maneira.
A cadeia de ataque Winnti em evolução
Em sua última campanha, os atores de ameaças do grupo Winnti tinham como alvo servidores vulneráveis voltados para a Internet como um vetor para obter uma posição inicial em uma rede de destino. Em alguns casos, os invasores ganharam entrada inicial nos sistemas explorando vulnerabilidades conhecidas em plataformas de planejamento de recursos corporativos (ERP).
“Pelo que sabemos, as vulnerabilidades exploradas nos ataques observados têm correções que foram emitidas pelo fornecedor”, diz Dahan.
Uma vez dentro, a Cybereason observou os atacantes adotando o que descreveu como uma abordagem “house-of-cards” para implantar suas cargas maliciosas, onde cada componente da cadeia de ataque dependia do anterior e dos outros componentes para funcionar corretamente. Isso dificultou a análise de cada componente de malware na cadeia de ataque separadamente.
“Se, por alguma razão, um componente estiver faltando ou for detectado – a coisa toda desmoronaria”, diz Dahan.
A abordagem também adicionou outra camada de proteção e discrição porque cada um dos componentes da cadeia de ataque não é totalmente malicioso por si só, e por isso seria improvável que fosse marcado como malicioso por produtos de segurança, diz Dahan. Para se tornarem maliciosos, os componentes da cadeia de ataque devem ser montados em uma determinada ordem.
“A abordagem ‘casa de cartas’ dificulta que os pesquisadores de segurança analisem a carga e o fluxo do ataque”, explica. “Você realmente tem que ver todo o ataque e coletar todas as cargas e saber como executá-las na ordem exata em que foram projetadas para correr.”
FONTE: DARK READING