0
0
Um ator de ameaça chinês conseguiu violar a rede elétrica nacional em um país asiático não identificado no início deste ano, comprometendo vários computadores e usando um popular Trojan de acesso remoto (RAT) para roubar dados confidenciais.
O perpetrador – uma entidade dentro do Grupo Winnti, também conhecido como APT41, Bronze Atlas – tem um histórico de assumir algumas das espionagens cibernéticas de mais alto nível conduzidas pela República Popular da China (RPC), incluindo campanhas contra governos e indústrias hostis . fora do país. As suas campanhas abrangentes e bem-sucedidas granjearam-lhe a atenção das autoridades internacionais num grau igualado apenas pelos estados-nação e pelos grupos cibercriminosos mais prolíficos do mundo.
Nesta última campanha, uma subseita dentro do Winnti conhecida como “Redfly” ou “Red Echo” conseguiu ocupar a rede de um fornecedor nacional de electricidade asiático durante meio ano, implantando um Trojan chamado “ShadowPad” para colher credenciais e obter informações privilegiadas.
De acordo com Dick O’Brien, principal analista de inteligência da equipe de caçadores de ameaças da Symantec, este último caso de ataque a infraestruturas críticas sinaliza uma tendência preocupante para o setor como um todo. “Acho que pode ser muito fácil ouvir os avisos, mas não fazer nada até que algo realmente ruim aconteça”, alerta. “O pior cenário é bastante raro, mas acontece de vez em quando.”
Ataque Winnti contra uma grade
Pesquisadores da Symantec rastrearam a campanha até 28 de fevereiro, quando o ShadowPad foi implantado em um único computador na rede alvo.
ShadowPad, descoberto pela primeira vez há oito anos, é um backdoor modular em formato shellcode . Tal como o seu sucessor – a antiga família de trojans PlugX – foi brevemente partilhado com compradores selecionados no submundo cibernético, mas é geralmente visto em correlação com ataques patrocinados pelo Estado chinês.
Nesta campanha, os invasores usaram uma variante distinta do ShadowPad que se copia para o disco, disfarçada de arquivos e diretórios VMWare.
A Redfly implantou o ShadowPad pela segunda vez na rede alvo em 17 de maio, indicando que manteve a persistência nesse ínterim de três meses.
Nos dias e semanas seguintes, Redfly começou a flexionar seus músculos. Em 19 de maio, por exemplo, ele executou o sideload de DLL para eliminar uma carga útil e, em seguida, usou o Powershell para obter informações sobre os dispositivos de armazenamento conectados ao sistema. Em 26 de maio, ele despejou credenciais do registro %TEMP% e limpou os logs de eventos de segurança do Windows. Em 31 de maio, ele usou suas credenciais roubadas para espalhar seu malware para outras máquinas da rede.
Em 27 de julho, o Redfly descartou um keylogger, armazenado sob vários nomes de arquivo em vários computadores. E em seu último dia de atividades maliciosas, 3 de agosto, o Redfly tentou despejar credenciais do registro do Windows.
Mais invasores visando infraestrutura crítica
Um ataque contra uma rede nacional simplesmente não tem hoje o mesmo impacto que teria há anos.
Enquanto o Winnti operava através deste fornecedor de rede asiático em Maio, a Microsoft revelou que um APT chinês diferente, o Volt Typhoon, tinha comprometido organizações de infra-estruturas críticas dos EUA , um ataque que de alguma forma mais tarde se revelou ainda pior do que se pensava inicialmente . Essa campanha inspirou uma declaração conjunta de várias agências responsáveis pela aplicação da lei em todo o mundo.
Na verdade, embora os ataques destrutivos da Rússia ganhem as maiores manchetes , as campanhas de espionagem da China são indiscutivelmente igualmente comuns no espaço das infra-estruturas críticas.
Pesquisadores da Symantec rastreiam vários subgrupos dentro do Winnti, incluindo Blackfly , Greyfly e, neste caso, Redfly (também conhecido como Red Echo). Redfly, dizem eles, é uma subseita focada exclusivamente em ataques a infraestruturas críticas nacionais. E esta última campanha provavelmente não é a primeira incursão em hacks de redes elétricas nacionais, tendo conseguido um feito semelhante na Índia há dois anos, de acordo com a empresa de segurança cibernética Recorded Future.
Exatamente por que as APTs chinesas demonstraram tanto interesse em indústrias críticas ainda não está claro. O’Brien especula que pode ter a ver com tensões políticas, tendências do mercado energético ou roubo de propriedade intelectual, mas não há como dizer com certeza. “Não conhecemos a mente dos atacantes, por isso só podemos dar um palpite”, alerta.
Felizmente, acrescenta, os EUA e alguns outros países ocidentais estão bem conscientes da ameaça. “Os Estados Unidos estão bem informados, nesta fase, da ameaça que a cibersegurança pode representar para infra-estruturas críticas e do que precisa de ser feito em termos de apoio às organizações que estão por detrás dessas infra-estruturas críticas. Para outros países, isso varia. “
Na verdade, acrescenta ele, outros países podem “talvez aprender com a sua abordagem – sobre como a CISA aceitou o desafio aqui”.
FONTE: DARKREADING